g-docweb-display Portlet

4. Temi di maggior rilievo nell'attività del Garante - Relazione 1997 - 30 aprile 1998

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Indice

Relazione annuale 1997

4. Temi di maggior rilievo nell´attività del Garante

 

4.1. Premessa



Il Garante, privilegiando, come già detto, il profilo del dialogo e della persuasione, ha fornito numerose indicazioni a singoli cittadini, operatori economici, enti, associazioni e pubbliche amministrazioni, al fine di agevolare una corretta applicazione dei nuovi princìpi introdotti dalla legge n. 675/1996.

Sin dai primi giorni di costituzione dell´Autorità sono pervenute innumerevoli richieste di chiarimenti, in forma di quesiti scritti e telefonici, sulla disciplina normativa, sulle modalità di consultazione o di attivazione dei poteri del Garante e sugli adempimenti previsti dalla legge. Ad esempio, sulla base di una stima che si riferisce al periodo agosto 1997 - marzo 1998, si è calcolato un numero di chiarimenti telefonici superiori a 25.000. Oltre alle risposte fornite per iscritto, molti interrogativi hanno trovato riscontro in appositi comunicati-stampa (in tutto, i comunicati diffusi dal Garante sono stati 67).

Nel 1997 sono pervenute diverse notificazioni effettuate in modo erroneo e prima del decorrere dei termini previsti. Ad esse, l´Ufficio ha fornito un riscontro con lettere circolari che, oltre ad illustrare la normativa in materia, hanno allegato anche un esemplare del supporto magnetico realizzato dal Garante per la notificazione.

Sono inoltre pervenute 8889 richieste di autorizzazione al trattamento dei dati sensibili, ai sensi dell´art. 22, comma 1, della legge 675/1996, alle quali si è provveduto, come già precisato, con le autorizzazioni generali pubblicate sulla Gazzetta ufficiale, nonché con comunicati stampa e, ove possibile, con singole missive.

Oltre agli innumerevoli reclami e segnalazioni pervenuti, unitamente a 86 ricorsi, l´Ufficio ha ricevuto varie comunicazioni da parte di soggetti pubblici effettuate in adempimento delle apposite prescrizioni normative. In particolare 268 comunicazioni hanno riguardato l´ipotesi del trattamento di dati sensibili da parte di un soggetto pubblico in assenza di un´espressa disposizione di legge, secondo il disposto dell´art.41, comma 5.

Circa 320 comunicazioni sono pervenute, invece, riguardo all´ipotesi di cui all´art. 27, comma 2, che prescrive tale adempimento qualora la comunicazione o la diffusione di dati tra soggetti pubblici avvenga in carenza di disposizioni normative, ma risulti comunque necessaria per lo svolgimento delle funzioni istituzionali delle amministrazioni interessate.

Va rilevato, inoltre, che prima ancora dell´entrata in vigore della legge n. 675/1996, l´Autorità Garante si è subito impegnata in una delicata attività volta a fornire alcuni indirizzi operativi, a richiamare l´attenzione sui comportamenti cui uniformarsi e ad assicurare un confronto proficuo con i soggetti interessati.

In questa prospettiva, si è ritenuto utile operare anche attraverso lo strumento delle audizioni dei gruppi e delle categorie interessate su vari problemi di interpretazione e di applicazione della legge n. 675.

Le audizioni hanno avuto inizio già alla data del 17 aprile 1997, e hanno interessato vari interlocutori istituzionali e imprenditoriali, a cominciare dai rappresentanti della Federazione italiana degli editori giornali, della Federazione nazionale della stampa, dell´Associazione nazionale tra le imprese di informazione commerciale, nonché dell´Arcigay-Arcilesbica.

I primi hanno richiamato l´attenzione sulle delicate implicazioni nascenti dall´applicazione della legge n. 675 al settore dei media, nonché sull´esigenza di assicurare qualità e trasparenza all´informazione nel mondo dell´impresa e del commercio.

Dal canto suo, l´Arcigay-Arcilesbica ha chiesto di appurare se le autorità di polizia utilizzino appositi elenchi di omosessuali. Il Garante ha chiesto ai Ministri dell´interno e della difesa di fornire assicurazioni circa l´assenza di un´illecita schedatura di omosessuali. Il Ministro dell´interno (con nota del 23 dicembre 1997) e il Comando generale dell´Arma dei carabinieri (con nota del 25 febbraio 1998) hanno escluso che tale pratica sia in atto. L´Arcigay-Arcilesbica hanno inoltre lamentato una prassi invalsa presso alcune testate giornalistiche e televisive che obiettivamente discrimina l´omosessualità specie quando è collegata a fatti di cronaca.

Dopo l´8 maggio 1997, data di entrata in vigore della legge n. 675/1996, l´attività di consultazione dei gruppi e delle categorie interessate ha avuto una sua, ovvia, evoluzione tematica, sviluppandosi anche in numerosi incontri anche informali con esperti e istituzioni, impegnati, tra l´altro, nel settore della statistica, della ricerca epidemiologica e delle telecomunicazioni.

Il 20 maggio 1997 si sono tenute le audizioni dell´Adusbef, del Movimento di difesa del cittadino e della Banca nazionale del lavoro.

Le prime due organizzazioni hanno rappresentato una prassi in atto presso alcuni istituti di credito relativa all´informativa all´interessato e all´acquisizione del consenso, non conforme alle disposizioni di cui agli artt. 10 e 11 della legge n. 675.

Di seguito alla prima decisione adottata dal Garante il 28 maggio 1997, che ha riguardato, come si vedrà, i modelli inviati alla clientela dalla Banca nazionale del lavoro, il Garante ha fornito a vari soggetti, e in particolare ad istituti di credito e imprese di assicurazione, alcune indicazioni generali utili per il rispetto del principio del consenso libero e informato.

Considerata la vastità e la complessità della catena dei trattamenti in atto in tali ambiti, il Garante ha avviato una proficua consultazione con la Banca d´Italia, l´ISVAP, l´Associazione bancaria italiana (ABI) e l´Associazione italiana delle imprese di assicurazione (ANIA), anche per individuare i profili su cui la prevista legislazione integrativa e, se del caso, correttiva, dovrebbe intervenire anche in attuazione delle Raccomandazioni del Consiglio d´Europa citate nella legge delega n. 676.

L´attività di consultazione e di collaborazione con le categorie interessate è proseguita con gli incontri che si sono tenuti, a partire dal 23 giugno 1997, in particolare con la Federazione nazionale dell´Ordine dei medici, e, nella stessa giornata, con l´ANIA.

Altra audizione che ha avuto come esito una decisione del Garante è stata quella con il Comitato promotore dei referendum, svoltasi il 9 luglio 1997. Il Comitato è stato sentito in ordine ai moduli per la raccolta di firme relative alle iniziative referendarie, nei quali si prospettava l´utilizzazione dei dati anche per altre finalità.

La successiva decisione adottata dal Garante ha precisato, come si vedrà, che il trattamento dei dati, qualora abbia finalità diverse da quelle proprie della legittima iniziativa referendaria, richiede il consenso dell´interessato manifestato in forma specifica.

Sempre il 9 luglio 1997, si è tenuto un primo incontro con una delegazione del Consiglio nazionale dell´Ordine dei giornalisti, al fine di individuare, in un quadro di cooperazione, le linee-guida e i tempi di preparazione del codice di deontologia dei giornalisti previsto dall´articolo 25 della legge n. 675/1996, sollecitata dal Garante con nota del 26 maggio 1997.

Nella seconda settimana di luglio, si è tenuto un incontro con due delegazioni della Banca d´Italia e dell´ABI per analizzare congiuntamente le problematiche organizzative derivanti dall´applicazione della legge, anche alla luce della menzionata decisione sui modelli di informativa e sulla manifestazione del consenso in ambito bancario.

Nell´incontro sono state individuate alcune tematiche da approfondire per agevolare la piena applicazione dei princìpi in materia di tutela della riservatezza nel quadro della complessa attività bancaria, tenendo conto, anche e soprattutto, delle nuove funzioni che caratterizzano la "banca del futuro". In tal modo si è inteso quindi avviare una proficua collaborazione, informata a quello spirito di "promozione della legge" che ha caratterizzato l´attività del Garante nel periodo di prima applicazione della nuova normativa.

Dei successivi incontri con altre categorie, relativi anche al rilascio delle autorizzazioni generali, è fatta menzione in altri paragrafi.

 

42. Giornalismo e attivita di informazione


T ra i problemi più delicati in materia di trattamento dei dati personali vi è quello che si pone con riguardo al giornalismo e all´espressione letteraria ed artistica. Sempre più spesso, accade infatti che si sviluppi un conflitto tra la tutela della persona e la garanzia della libertà di stampa e della libera manifestazione del pensiero.

Il problema dell´individuazione di un punto soddisfacente di equilibrio tra queste due istanze è stato affrontato a livello comunitario con la direttiva n. 95/46/CE del 24 ottobre 1995. L´art. 9 ("Trattamento di dati personali e libertà di espressione") demanda agli Stati membri il compito di prevedere, in favore del giornalismo e dell´espressione artistica o letteraria, determinate deroghe o esenzioni a talune disposizioni di attuazione della direttiva stessa, qualora ciò si riveli necessario per conciliare il diritto alla vita privata con le norme sulla libertà d´espressione.

L´indirizzo perseguito in sede comunitaria è stato tradotto, nella legge 675/1996, in una serie di norme che fanno riferimento ai giornalisti e ai soggetti ad essa equiparati per effetto del d.lg. n. 123/1997 (pubblicisti, praticanti e autori di saggi, articoli e altre manifestazioni del pensiero). Tra queste, assumono particolare importanza gli articoli 12, 20 e 25 e 28, comma 6.

Al trattamento effettuato nell´esercizio della professione giornalistica o nel più generale esercizio della libertà di manifestazione del pensiero si applicano con le semplificazioni contenute nel codice di deontolgia di prossima emanazione le norme concernenti le informazioni che vanno rese al momento della raccolta (art. 10). Non si applicano, invece, le disposizioni che prescrivono l´acquisizione del consenso dell´interessato, quando il trattamento è effettuato per l´esclusivo perseguimento delle finalità giornalistiche e nel rispetto del codice di deontologia (art. 12, comma 1, lett. e)).

Inoltre, è ammessa la comunicazione e la diffusione dei dati (senza il consenso dell´interessato) quando il trattamento è effettuato nell´esercizio della professione giornalistica e per l´esclusivo perseguimento delle relative finalità , nei limiti del diritto di cronaca posti a tutela della riservatezza e in particolare, dell´essenzialità dell´informazione riguardo a fatti d´interesse pubblico (art. 20, comma 1, lett. d)). In ogni caso, è necessario rispettare le prescrizioni del codice deontologico.

Le disposizioni in materia di flusso transfrontaliero dei dati non si applicano al trasferimento di dati personali all´estero effettuato nell´esercizio della professione di giornalista e per l´esclusivo perseguimento delle relative finalità : un´esplicita deroga è sancita infatti dal comma 6 dell´art. 28, che prevede la disciplina generale di tale aspetto.

L´art. 25 individua le condizioni da osservare per considerare lecito il trattamento dei dati sensibili da parte del giornalista e dei soggetti ad esso parificati; al tempo stesso, questa disposizione fissa la procedura da seguire per l´adozione del codice deontologico, che deve precisare alcune garanzie (che si applicano sia ai dati sensibili, sia alle altre categorie di dati) e, individuate dal Consiglio nazionale dell´Ordine dei giornalisti, anche sulla base delle indicazioni fornite dal Garante.

La stessa disposizione stabilisce inoltre un regime di deroga al sistema altrimenti vigente per i dati sensibili e che ruota attorno al binomio consenso-autorizzazione. Tale deroga non operava, tuttavia, con riferimento ai dati idonei a rivelare lo stato di salute e la vita sessuale dell´individuo. Queste informazioni finiscono spesso per svelare la sfera più intima, delicata e vulnerabile della vita privata, e l´eventuale diffusione di simili informazioni può risultare estremamente pericolosa per il soggetto cui si riferiscono. In ragione di tutto ciò , la legge guardava all´interessato come all´unico soggetto legittimato, in via di principio, ad autorizzare la circolazione della "propria" proiezione sociale relativa ai dati sulla salute e alla vita sessuale, ma presentava alcuni difetti in quanto, qualora fosse stata applicata alla lettera, avrebbe impedito irragionevolmente la diffusione non consensuale di ogni qualsivoglia dato sulla salute, anche in relazione a fatti o a circostanze rese evidenti da comportamenti in pubblico dell´interessato o da un fatto di cronaca. Il difetto è stato rimosso dal decreto legislativo approvato il 9 aprile u.s. durante la fase di stampa della presente relazione.

A differenza di quanto avveniva per i dati idonei a rivelare lo stato di salute e la vita sessuale dell´individuo, le altre categorie di dati sensibili previste dall´art. 22 (comprese le informazioni concernenti l´origine razziale ed etnica, le opinioni politiche e religiose, l´adesione a partiti o ad altre organizzazioni politiche, religiose, filosofiche, sindacali) potevano e possono essere oggetto di trattamento senza necessità del consenso scritto dell´interessato e dell´autorizzazione del Garante. Infatti, il comma 1 dell´articolo 25 stabilisce che il consenso dell´interessato non è richiesto nel caso di trattamento effettuato nell´esercizio della professione di giornalista e per l´esclusivo perseguimento delle relative finalità, nei limiti del diritto di cronaca, e in particolare dell´essenzialità dell´informazione riguardo a fatti d´interesse pubblico. Analoga soluzione è prevista per il trattamento di dati personali idonei a rivelare determinati provvedimenti di carattere giudiziario.

Il decreto del 9 aprile ha perfezionato l´art. 25 in modo da ribadire, anzitutto, che in materia di attività giornalistica non è prevista un´autorizzazione del Garante. Il decreto, oltre a sottolineare la cooperazione tra il Garante e il Consiglio nazionale dell´Ordine dei giornalisti per ciò che riguarda l´adozione del codice, ha previsto anche la pubblicazione sulla Gazzetta Ufficiale del codice stesso. Il codice dovrà specificare misure ed accorgimenti particolari per i dati sulla salute e la vita sessuale, per i quali la previgente formulazione dell´art. 25 fissava un limite più rigido nel consenso dell´interessato.

È da segnalare anche che il decreto ha modificato gli artt. 12, 20 e 25 della legge, evitando che la sola inosservanza dei limiti al diritto di cronaca o delle disposizioni del codice deontologico comporti automaticamente, di per se sola, l´applicazione di una sanzione penale, che rimane invero riservata alle norme penali comuni, in particolare in tema di lesione dell´onore e della reputazione.

Da ultimo, il decreto (sul quale il Garante ha espresso formalmente un parere favorevole) ha introdotto una precisazione che previene ancor più i dubbi che potevano sorgere circa la possibilità di raccogliere dati relativi a circostanze o fatti resi noti direttamente dall´interessato o attraverso i suoi comportamenti in pubblico.

Sotto altri profili, contestualmente all´entrata in vigore della legge, il Governo è intervenuto inserendo nel decreto legislativo n. 123 una disposizione che permette al giornalista di fornire le informative previste dall´art. 10 secondo le forme semplificate previste dal codice deontologico.

Oltre all´equiparazione ai giornalisti dei pubblicisti, dei praticanti e degli autori di saggi, articoli e altre manifestazioni del pensiero, il Governo ha operato successivi interventi esonerando dalla notificazione gli autori medesimi, e rendendo possibile la notificazione in forma semplificata da parte di giornalisti, pubblicisti e praticanti (art. 7, commi 5 bis e 5 ter, legge n. 675/1996, introdotti dal d.lg. n. 255/1997).

Al tempo stesso, anche sulla base di alcune indicazioni fornite dal Garante, il Governo si è riservato di valutare ulteriori correttivi in materia a seguito di una prima verifica del funzionamento della legge.

Dal canto suo, il Garante ha seguìto da subito un´interpretazione dell´art. 25 in linea con l´art. 21 della Costituzione, precisando nella lettera circolare n. 2/GAR (inviata a tutti i giornalisti che hanno richiesto l´autorizzazione al trattamento dei dati sensibili) che per i giornalisti stessi non è necessaria alcuna autorizzazione del Garante.

Il Garante, con nota del 26 maggio 1997, diretta al Consiglio nazionale dell´Ordine dei giornalisti, ha promosso l´adozione del codice deontologico, la cui elaborazione si è poi sviluppata in un quadro di proficua cooperazione, articolatasi anche in diversi incontri e iniziative pubbliche di confronto.

Essendo tenuto ad impartire eventuali misure ed accorgimenti a garanzia degli interessati sin dalla fase di formazione del codice, il Garante ha inviato al Consiglio nazionale una prima segnalazione il 18 dicembre 1997. Quest´ultimo, avvalendosi del più ampio termine che aveva chiesto al Garante di poter utilizzare, ha approvato un primo testo alla fine del mese di dicembre, sul quale il Garante si è nuovamente pronunciato il 23 gennaio 1998, formulando alcune osservazioni.

In particolare, il Garante ha ricordato che: il codice reca non solo precetti deontologici sanzionabili in via disciplinare, ma riveste rango di normativa secondaria speciale indirizzata a chiunque eserciti funzioni informative mediante mezzi di comunicazione di massa; che il codice deve conformarsi, senza possibilità di deroghe, sia alla legge n. 675/1996, sia alle altre norme primarie vigenti da tempo a tutela della riservatezza, come quelle per le vittime di violenze sessuali, per i minori coinvolti in procedimenti penali, per i malati di Aids; che il codice stesso deve determinare misure adeguate a garanzia degli interessati rapportate alla natura dei dati utilizzati, sia ordinari sia sensibili.

Al tempo stesso, il 15 gennaio 1998 il Garante ha richiamato l´attenzione del Ministro di grazia e giustizia, ritenendo realizzate le condizioni ritenute necessarie per la modifica dell´art. 25, considerati i progressi maturati nella fase di formazione del codice.

Come già riferito, il Ministro e il Governo hanno raccolto l´indicazione del Garante provvedendo il 9 aprile 1998 al varo del citato decreto legislativo.

Una volta adottato per tutti gli organi competenti, il codice costituirà un parametro importante in materia. Peraltro, il comma 3 dell´art. 25 attribuisce al Garante una potestà sanzionatoria di tipo inibitorio, in caso di violazione delle prescrizioni contenute nel codice di deontologia, che si estrinseca nel potere di vietare il trattamento dei dati, a norma dell´art. 31, comma 1, lett. l), qualora in considerazione della loro natura o delle modalità del trattamento, o degli effetti che esso può determinare, vi sia il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati.

D´altra parte, vanno sottolineate alcune ulteriori misure di garanzia.

Il comma 4-bis dell´art. 25, aggiunto dal d.lg. n. 123/1997, allo scopo di consentire l´applicazione delle deroghe in esso disposte ha, come si è visto, esteso la nozione di "trattamento nell´esercizio della professione di giornalista" ai trattamenti effettuati dai soggetti iscritti nell´elenco dei pubblicisti o nel registro dei praticanti, nonché a quelli temporaneamente effettuati per la finalità esclusiva della pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero.

È opportuno evidenziare che il Garante ha sollecitato il Consiglio nazionale dell´Ordine a introdurre nel codice una norma che prescriva ai quotidiani e ai periodici di indicare gli eventuali responsabili del trattamento dei dati, anche con riferimento ai trattamenti finalizzati seppur occasionalmente all´espressione del pensiero. Tale misura appare di particolare importanza, in quanto consentirà un più agevole esercizio dei diritti di cui all´art. 13 da parte del soggetto cui i dati si riferiscono.

Peraltro, la legge n. 675/1996, nel testo aggiornato con le modifiche apportate nel corso del 1997, disciplina il trattamento dei dati effettuato nell´esercizio della professione giornalistica anche con riguardo a profili diversi da quelli toccati dall´art. 25 e che comportano peculiarità procedimentali che semplificano gli oneri di notifica al Garante.

Restano fermi, in ogni caso, i diritti riconosciuti in capo all´interessato dall´art. 13, nonché gli obblighi che la legge stabilisce con riferimento all´adozione di adeguate misure di sicurezza (art. 15), poiché essi risultano incomprimibili anche di fronte al trattamento giornalistico dei dati personali inteso come espressione sia della libertà di stampa, sia della libertà di manifestazione del pensiero, ferma restando l´esigenza della tutela del segreto professionale del giornalista per ciò che riguarda la confidenzialità della fonte della notizia.

 

43. Trasparenza dell´attivita amministrativa


Altro delicato problema di cui si è dovuto occupare il Garante specie nei primi mesi della propria attività è stato quello di verificare l´incidenza della legge n. 675/1996 sul trattamento dei dati personali ad opera dei soggetti pubblici. La delicatezza del compito va rinvenuta nel fatto che la legge si è innestata in un assetto normativo e giurisprudenziale già articolato in materia di trasparenza e accesso ai documenti amministrativi. Ciò ha indotto alcuni a sollevare qualche interrogativo circa il rapporto tra le esigenze di riservatezza e le misure a garanzia della trasparenza nella pubblica amministrazione. Il punto di equilibrio tra le predette situazioni giuridiche risiede nel garantire comunque ai soggetti privati le prerogative loro accordate dalla legge circa il corretto trattamento dei propri dati personali ancorché questi siano in possesso della pubblica amministrazione.

Il tema è venuto in rilievo, in particolare, nel parere reso il 30 giugno 1997 a proposito della pubblicità degli albi professionali dei medici e degli odontoiatri. In tale parere sono state distinte quattro situazioni possibili per quanto concerne la pubblicità dei documenti detenuti dai soggetti pubblici: a) documenti da ritenere pienamente pubblici, ovvero conoscibili da chiunque; b) documenti la cui conoscibilità è circoscritta ad alcune pubbliche amministrazioni, oppure a talune categorie professionali; c) documenti accessibili ai sensi dell´art. 22 della legge n. 241/1990 (procedimento amministrativo) da parte di chi ha un interesse personale e concreto e per la tutela di situazioni giuridicamente rilevanti; d) documenti accessibili alla sola amministrazione che li detiene, soggetti cioè al segreto d´ufficio. Sulla base di tali premesse, il Garante ha analizzato la normativa riguardante l´albo dei medici (la quale prevede che ciascun albo sia pubblicato nel mese di febbraio di ciascun anno, con contestuale trasmissione di una copia ad alcune amministrazioni anche ai fini della sua affissione nelle prefetture), ed ha ritenuto che il caso rientrasse nell´ipotesi indicata alla lettera a). Ciascun ordine è stato quindi ritenuto legittimato ad autorizzare la visione dell´albo presso l´ordine stesso e, quanto alle richieste di nominativi dei professionisti specializzati in talune discipline, a valutarne la meritevolezza e la praticabilità.

L´Autorità è stata richiesta di precisare, poi, se la RAI S.p.A., concessionaria del pubblico servizio radiotelevisivo, fosse tenuta a comunicare nel dettaglio e nominativamente gli stipendi dei suoi dirigenti e giornalisti, nonché i compensi dei suoi collaboratori esterni, e se fosse legittimo o meno, alla luce della legge n. 675/1996, divulgare, da parte di periodici o quotidiani, i dati personali relativi alle retribuzioni del suddetto personale, senza il consenso degli interessati.

Con il parere del 16 settembre 1997, l´Autorità ha ritenuto che la R.A.I. S.p.A. abbia formalmente una struttura societaria, ma, in quanto concessionaria esclusiva del servizio pubblico di diffusione radiotelevisiva, assuma la particolare connotazione di soggetto "pubblicistico" autonomo, in quanto la "concessione" determina "l´impianto" di un ufficio, che per un verso compie attività pubblicistica ed è soggetto a controlli da parte dell´amministrazione concedente e, per un altro, compie attività di diritto privato, operando secondo le norme privatistiche e in base alle regole del mercato. Nei suoi confronti, si è quindi ritenuta applicabile la legge n. 241/1990 per quanto concerne il diritto di accesso, conformemente a quanto ritenuto dal Consiglio di Stato (Sez. IV, 17 giugno 1997 n. 649), in quanto la società concessionaria pubblica rientra nel più ampio concetto di organo indiretto di amministrazione. Pertanto si applicano i medesimi princìpi elaborati per la pubblica amministrazione in senso stretto anch e in relazione alla documentazione custodita presso gli uffici della concessionaria pubblica.

All´atto di questa decisione e di altre successive, il Garante ha tenuto conto di alcuni princìpi espressi dalla giurisprudenza amministrativa, in base ai quali, tra l´altro:

  • ai fini della legittimazione all´accesso agli atti della pubblica amministrazione, ai sensi dell´art. 22 della legge n. 241/1990, non è necessario possedere tutti i requisiti che legittimerebbero il ricorso giudiziale, essendo sufficiente che l´istante sia titolare di una posizione giuridicamente rilevante e che il suo interesse alla richiesta si fondi su tale posizione (Consiglio di Stato Sez. IV, 11 gennaio 1994 n. 21; Sez. VI, 15 luglio 1994 n. 1243);
  • l´interesse all´accesso non è limitato alla titolarità di una posizione strettamente personale di diritto soggettivo o interesse legittimo ed È azionabile anche indipendentemente dall´esistenza di una lesione della posizione giuridica del richiedente;
  • il diritto di accesso configurato dalla legge n. 241 del 1990, è correlato non tanto agli atti amministrativi quanto all´attività amministrativa, la quale comprende nel suo ambito anche l´attività di diritto privato (si pensi all´attività contrattuale e all´evidenza pubblica), essendo anch´essa volta alla cura concreta di interessi della collettività non meno dell´attività amministrativa in senso stretto.

Ai princìpi suddetti va aggiunto quanto statuito dall´Adunanza plenaria del Consiglio di Stato (n. 5 del 4 febbraio 1997), la quale ha ricordato che il diritto di accesso ai documenti amministrativi riconosciuto dalla legge n. 241/1990, allorché la conoscenza di determinati documenti sia necessaria per curare o per difendere l´interesse giuridico del richiedente, prevale sul diritto alla riservatezza e comporta la necessità di garantire comunque al richiedente stesso la visione degli atti dei procedimenti amministrativi necessari per perseguire tali finalità.

In questo quadro, il provvedimento del 16 settembre 1997 ha esaminato la questione se le informazioni riguardanti le retribuzioni e le altre indennità corrisposte dai concessionari di pubblici servizi fossero conoscibili e potessero essere oggetto di diffusione attraverso i mezzi di comunicazione. Il Garante, dopo aver premesso che l´art. 43 della legge n. 675/1996 non ha abrogato le disposizioni concernenti la pubblicità degli atti parlamentari, dei contratti collettivi di lavoro e dei documenti amministrativi, nonché quelle che riguardano il controllo da parte della Corte dei Conti o il legittimo esercizio del diritto di cronaca, ha stabilito che i dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corrisposti ad amministratori, dirigenti e lavoratori da concessionari di pubblici servizi (quali le Ferrovie dello Stato S.p.A. e la R.A.I. S.p.A.) sono conoscibili. Più precisamente, ha stabilito che sono conoscibili da parte delle competenti autorità pubbliche e da chiunque vi abbia interesse, attraverso:

a) la lettura degli atti parlamentari nei quali sono documentate le doverose risposte fornite ad interrogazioni e ad interpellanze parlamentari;

b) l´esame dei contratti collettivi, destinati per loro stessa natura ad un regime di diffusa conoscibilità;

c) l´accesso ai documenti amministrativi che la legge 7 agosto 1990 n. 241 rende accessibili da parte di chiunque vi abbia un interesse giuridicamente rilevante personale e concreto (art. 22 legge n. 241/1990; art. 2 d.P.R. n. 352/1992), nonché da parte di amministrazioni, associazioni e comitati portatori di interessi pubblici o diffusi (art. 9 d.P.R. n. 352/1992);

d) in sede di esercizio del diritto di cronaca da parte di chi esercita la professione di giornalista o collabora occasionalmente ai mezzi di informazione (artt. 12, 20 e 25 legge n. 675/1996).

Nella decisione, si è preso in esame il delicato rapporto tra diritto di cronaca e diritto alla riservatezza, e si è stabilito che l´esposizione di cifre e classi stipendiali, benché accostate a determinate persone fisiche, soddisfa pur sempre l´interesse pubblico alla conoscenza della prassi in atto presso soggetti che, pur operando, di regola, secondo norme privatistiche e in base a logiche di mercato, svolgono attività aventi una particolare connotazione pubblicistica.

Successivamente, il Garante è stato chiamato a pronunciarsi sui rapporti esistenti tra i princìpi espressi dalla legge n. 675/1996 e il diritto di accesso ai documenti amministrativi anche con riferimento all´attività dell´Agenzia Spaziale Italiana (ASI). Quest´ultima ha chiesto di sapere se fosse possibile consegnare la documentazione relativa allo svolgimento di un concorso ad un concorrente che non aveva superato la selezione effettuata dall´Agenzia ai fini dell´assunzione di personale altamente specializzato. L´Autorità, con la decisione 21 ottobre 1997, ha ribadito i princìpi giurisprudenziali (già riferiti) in materia di accesso ai documenti amministrativi, precisando in particolare che, per quanto concerne i curricula vitae dei partecipanti alla selezione, la normativa sull´accesso prevede che spetta alle singole amministrazioni individuare i documenti amministrativi che possono essere sottratti all´accesso in relazione all´esigenza di salvaguardare la riservatezza dei terzi. Sicché possono essere esclusi quei documenti o parti di documenti che riguardano la vita privata o la riservatezza di persone fisiche, con particolare riferimento ai profili sanitari, professionali ecc... Si è ricordato ancora, quindi, che deve essere garantita, comunque, la possibilità di visionare gli atti relativi ai procedimenti amministrativi, ivi compresi i curricula, qualora la conoscenza dei singoli documenti sia effettivamente necessaria per curare o difendere gli interessi giuridici dei concorrenti (art. 24, comma 2, lett. d), legge n. 241/1990; art. 8, comma 5, lettera d), d.P.R. n. 352/1992).

Un´altra importante occasione in cui l´Autorità è intervenuta su questi delicatissimi temi è stata originata dalla richiesta di parere della Presidenza del Consiglio dei ministri in ordine ai rapporti tra la legge n. 675/1996 e la legge n. 441 del 1982, in tema di pubblicità della situazione patrimoniale relativa ai titolari di talune cariche elettive o direttive. In particolare, la Presidenza ha chiesto di conoscere se fosse legittima la contestazione da parte di taluni interessati (titolari di determinate cariche direttive, quali i presidenti, i vicepresidenti, gli amministratori delegati di istituti ed enti pubblici o partecipati), cui pure era stata estesa l´applicazione della legge (con conseguente raccolta delle dichiarazioni patrimoniali dei titolari delle predette cariche direttive, poi pubblicate in un apposito bollettino diffuso presso i prefetti ed altri organismi, ai sensi degli articoli 12 e 8 della legge n. 441/1982). Alcuni interessati sostenevano che l´interpretazione della norma testé indicata da parte della Presidenza del Consiglio dei ministri era errata e, comunque, non più rispondente ai princìpi contenuti nella nuova legge sulla riservatezza dei dati personali.

Il Garante, con il parere dell´8 gennaio 1998, ha chiarito che la disciplina del trattamento dei dati personali da parte di soggetti pubblici è prevista dall´art. 27 della legge n. 675/1996, che permette a tali soggetti di raccogliere e di utilizzare le informazioni di carattere personale qualora ciò sia necessario ai fini dello svolgimento di funzioni istituzionali, nel rispetto dei limiti eventualmente stabiliti da norme di legge o di regolamento. La medesima norma stabilisce che la divulgazione dei dati ad altre amministrazioni pubbliche è possibile non solo in presenza di norme espresse che lo consentano, ma anche in via residuale, qualora sia necessario per lo svolgimento di funzioni istituzionali. Al contrario, la comunicazione e la diffusione dei dati personali a soggetti privati, si è ricordato, è possibile solamente quando tali operazioni siano previste da un´espressa disposizione normativa.

Nel caso di specie (ove vi era una espressa normativa rinvenibile negli artt. 12, 13, 14 e 15 della legge n. 441/1982), l´Autorità non ha ravvisato alcuna incompatibilità di fondo tra le nuove disposizioni in materia di dati personali e le norme in tema di trasparenza nella pubblica amministrazione.

Nel parere, il Garante ha esaminato in particolare il problema della legittimità della pubblicazione dei dati relativi alla situazione patrimoniale degli alti dirigenti di aziende ed organismi pubblici, in quanto tale possibilità non è oggetto di un preciso richiamo nell´ambito degli articoli di legge sopra ricordati. L´Ufficio ha ritenuto che il comma 2 del citato art. 14 della legge n. 441/1982, benché formulato in maniera asistematica, debba essere considerato come una norma di chiusura volta a prevedere, in relazione alla situazione patrimoniale dei soggetti di cui all´art. 12 della medesima legge, la conoscibilità e la pubblicità dei dati contenuti nelle dichiarazioni e negli atti da essi presentati, attraverso un bollettino edito a cura della Presidenza del Consiglio dei ministri.

In altri termini, l´Autorità ha ritenuto che il problema interpretativo specifico dovesse armonizzarsi con lo spirito complessivo della legge n. 441/1982, che ha voluto prevedere uno speciale regime di trasparenza per quanto riguarda alcuni dati economici relativi agli individui che ricoprono determinati incarichi pubblici o di rilievo.

Nel parere, infine, si è affermato che il regime cosìcome delineato vale anche per la situazione patrimoniale relativa al personale dirigenziale o equiparato alle amministrazioni pubbliche, nonché al personale di magistratura ordinaria, amministrativa, contabile e militare, al quale, per effetto della legge n. 127/1997, attualmente si applicano le disposizioni dell´art. 12 della legge n. 441/1982 (vedasi in particolare l´art. 17, comma 22, legge 15 maggio 1997, n. 127).

A tale proposito, va segnalato che il Consiglio di presidenza della giustizia amministrativa ha chiesto al Garante di poter acquisire il predetto parere al fine di uniformarsi a quanto ivi statuito, in relazione alla pubblicazione delle situazioni patrimoniali dei magistrati amministrativi.

 

44. Consenso e correttezza nella raccolta delle informazioni


C on l´entrata in vigore della legge n. 675/1996, sono emersi numerosi problemi in ordine alla corretta esecuzione degli obblighi di informativa agli interessati e di acquisizione del relativo consenso da parte di coloro che raccolgono ed utilizzano i relativi dati personali.

L´Autorità, spesso, su segnalazione di cittadini, si è attivata per garantire il pieno rispetto delle disposizioni vigenti e per rendere più semplice e comprensibile l´apposita modulistica predisposta, ad esempio, da banche, compagnie di assicurazione e da altre imprese per la clientela o per il personale dipendente.

Il primo caso affrontato a questo proposito dal Garante, e senza dubbio quello di maggior rilievo, riguarda il settore bancario.

Immediatamente dopo l´entrata in vigore della legge n. 675/1996, alcuni cittadini ed associazioni a difesa dei consumatori hanno presentato all´Autorità segnalazioni e reclami nei confronti dei modelli di informativa e consenso che la Banca nazionale del lavoro aveva inviato ai propri clienti prima dell´8 maggio 1997.

In tali modelli era stato richiesto un consenso "generale" per un´ampia serie di trattamenti dei dati personali, anche sensibili, e si prospettava, in caso di mancato rilascio del consenso da parte del cliente, la chiusura del conto corrente o, comunque, l´estinzione del rapporto bancario.

In seguito alle denunce degli interessati, il Garante è intervenuto, facendo sospendere la trasmissione dei modelli ritenuti non conformi ai princìpi della legge n. 675/1996 ed avviando una procedura di verifica nel corso della quale sono stati raccolti documenti ed osservazioni da parte dei soggetti coinvolti nella vicenda.

Sulla base degli elementi acquisiti, è stata adottata, il 28 maggio successivo, una decisione con cui la banca è stata invitata a riformulare la modulistica inviata alla clientela e a non tener conto delle dichiarazioni di consenso o di rifiuto di prestazione del consenso già manifestate dagli interessati.

Nella decisione il Garante ha fornito alcuni criteri generali in materia di informativa e di richiesta del consenso all´interessato, utili non solo per il mondo degli istituti di credito ma anche per altri soggetti ed operatori di diversi settori economici e produttivi, ai quali è stata fornita comunque la massima collaborazione, anche attraverso consultazioni ed incontri informali, per agevolare l´attuazione delle nuove regole poste a garanzia dei cittadini.

In particolare, è stato affermato anzitutto il principio secondo il quale l´informativa di cui all´art. 10 della legge n. 675/1996 non deve essere fornita all´interessato caso per caso in occasione di ciascuna operazione bancaria.

Nell´informativa, si è detto, occorre inoltre: a) specificare se la stessa riguarda i dati raccolti presso la persona a cui questi si riferiscono o presso soggetti diversi, oppure entrambi i casi; b) individuare finalità e modalità senza l´utilizzo di formule generiche o tautologiche; c) chiarire con riferimento ai soggetti ai quali la banca demanda alcuni compiti, quelli che agiscono come "responsabili" (ai sensi dell´art. 8 della legge n. 675/1996) e quelli che svolgono invece questi compiti in completa autonomia; d) indicare direttamente i soggetti o, quantomeno, le categorie di soggetti ai quali i dati possono essere comunicati o diffusi senza procedere a mere elencazioni esemplificative o a semplici richiami all´esistenza presso la banca di un elenco di tali categorie (che spesso non permettono al cliente di avere un´effettiva conoscenza di queste informazioni).

Il difetto principale delle comunicazioni trasmesse dalla banca era comunque quello di prospettare al cliente in maniera generalizzata, nel caso di rifiuto a fornire i propri dati personali, l´eventuale interruzione dell´intero rapporto contrattuale, la mancata esecuzione di singole operazioni o la mancata instaurazione di nuovi rapporti.

Un´indicazione di questo tipo è risultata in contrasto con la normativa sulla privacy, la quale invece richiede anzi di distinguere le ipotesi in cui il conferimento dei dati abbia un carattere obbligatorio, perché derivante da obblighi di legge (ad es., per individuare operazioni di riciclaggio) o strettamente connesso all´esecuzione del rapporto contrattuale (in questi due casi non è necessario acquisire il consenso del cliente), oppure facoltativo, quando si riferisce allo svolgimento di ulteriori attività da parte dell´istituto di credito (subordinate invece ad uno specifico consenso dell´interessato).

È evidente che i vizi riscontrati nel modello di informativa spiegano riflessi immediati sulla successiva manifestazione di consenso richiesta agli interessati.

Un modulo di consenso generalizzato e fondato su informazioni generiche ed insufficienti, accompagnate da un´esplicita minaccia di rottura dei rapporti contrattuali, risulta una negazione dei diritti sanciti dalla stessa legge n. 675/1996.

In base ai princìpi dell´ordinamento giuridico e alle regole dettate a livello comunitario, il consenso può essere ritenuto effettivamente libero solo se è prestato al riparo da qualsiasi pressione e non è condizionato dall´accettazione di clausole che determinino uno squilibrio nelle posizioni delle parti del contratto. Pertanto, la richiesta di un consenso generale ed incondizionato, proveniente da un soggetto in posizione contrattuale più forte rispetto al destinatario dell´informativa, si risolve in una violazione della libertà contrattuale di quest´ultimo.

È risultato inoltre impraticabile un consenso richiesto nei confronti dei trattamenti effettuati da un´ampia serie di soggetti individuati solo genericamente od indirettamente. Il consenso deve essere prestato "in forma specifica" e deve fare quindi riferimento ad un preciso genere di trattamento effettuato a cura di un ben individuato titolare del trattamento. Quando la banca o un altro soggetto titolare di trattamento intende acquisire il consenso dell´interessato anche per l´utilizzazione dei suoi dati da parte di altri soggetti, questi ultimi devono essere indicati puntualmente, altrimenti la dichiarazione di consenso deve considerarsi circoscritta soltanto ai trattamenti e alle comunicazioni di dati effettuati dall´istituto di credito.

Sono apparse, altresì, in aperto contrasto con le disposizioni della legge n. 675/1996 determinate richieste di consenso per i dati sensibili, il cui trattamento generalizzato non può certo ritenersi connaturato alle esigenze nascenti da un comune contratto bancario, e deve essere collegato a specifiche finalità o a particolari prestazioni richieste dall´interessato.

Come precisato anche nelle successive decisioni del Garante (relative anch´esse a società che svolgono attività bancaria o che emettono carte di credito), l´interessato deve essere a conoscenza di tutte le informazioni richieste dall´art. 10 e deve essere libero di esprimere il consenso per uno o più trattamenti, soprattutto quando gli stessi riguardino operazioni non funzionali al rapporto bancario (per fini commerciali, indagini di mercato, iniziative di marketing, ecc.) o attività svolte non dalla banca ma da altre imprese appartenenti al gruppo bancario o terze.

Dunque, la formula di consenso, preceduta da una chiara e corretta informativa, deve essere precisa e ben articolata, con la previsione, se necessario, di particolari opzioni per l´interessato, le quali dovranno essere di tipo "positivo" (possibilità di esprimere o di negare un consenso) anziché "negativo" (possibilità di esercitare a posteriori un diniego).

A seguito di queste prime indicazioni, i cui contenuti sono stati ampiamente diffusi dagli organi di informazione, è iniziata una consultazione - cui si è già accennato - tra il Garante, le banche, l´ABI e la Banca d´Italia, al fine di risolvere le numerose problematiche relative all´applicazione della disciplina sulla protezione dei dati personali al settore bancario. Inoltre, alcune imprese ed istituti di credito hanno riformulato i modelli già distribuiti ai propri clienti, e le altre banche, che non avevano ancora assunto iniziative al riguardo, hanno provveduto a predisporre e a inviare modelli di informativa e consenso alla clientela.

Negli ultimi mesi dell´anno, sono continuate però a pervenire all´Autorità segnalazioni di comportamenti non rispondenti ai princìpi della legge n. 675/1996 ed è stato necessario fornire ulteriori indicazioni. La legge, infatti, rende obbligatorio per la banca richiedere il consenso dell´interessato anche per operazioni di comunicazione dei suoi dati connesse all´adempimento di obblighi contrattuali sia per la clientela in essere sia per i nuovi clienti, quantomeno per quanto riguarda le comunicazioni sul territorio nazionale.

Il Garante ha inoltre indicato una soluzione del tutto transitoria in base alla quale, qualora gli attuali clienti non diano riscontro all´informativa inviata ai fini dell´acquisizione del consenso, l´esecuzione di una specifica operazione potrebbe essere considerata come manifestazione provvisoria di consenso in attesa di una sua successiva ed esplicita formalizzazione.

Altro caso di grande rilievo, affrontato in questo primo anno di attività del Garante in relazione agli aspetti della correttezza della raccolta dei dati personali, è quello relativo ad un questionario diffuso prima dell´entrata in vigore della legge attraverso un quotidiano a tiratura nazionale, e diretto alla raccolta di alcune informazioni personali ai fini di una ricerca sui consumi.

Attraverso il questionario, segnalato all´Autorità da alcuni cittadini e da una Associazione dei consumatori, una società di marketing intendeva acquisire dati personali per effettuare analisi di mercato indirizzate ad aziende produttrici di beni e servizi, permettendo al compilatore di partecipare ad un concorso a premi. L´attività di rilevazione dei dati teneva parzialmente conto delle nuove regole introdotte dalla legge n. 675/1996, ma sotto diversi aspetti appariva lesiva dei diritti degli interessati.

In particolare, il modello prevedeva una informativa insufficiente, formulata e collocata, assieme alla formula di consenso, in maniera non conforme alle disposizioni vigenti. Inoltre, conteneva alcune richieste di informazioni personali di carattere sensibile, riguardanti, in particolare, la salute degli interessati e la raccolta di dati relativi anche ai familiari del compilatore, senza che agli stessi fosse richiesto un consenso ad utilizzare tali informazioni.

Con una prima pronuncia, adottata il 19 giugno 1997, il Garante ha dato precise istruzioni in ordine alla riformulazione del questionario, fissando un termine per l´invio del documento appositamente modificato; ha poi inibito temporaneamente il trattamento da parte della società dei dati raccolti dopo l´8 maggio.

Dopo questa decisione, la società in questione ha apportato alcune importanti correzioni al questionario, consistenti nella predisposizione di una nuova informativa secondo quanto richiesto dall´art. 10 della legge n. 675/1996, nell´eliminazione di domande relative ad informazioni di natura sensibile e nella previsione di un apposito spazio per la manifestazione del consenso da parte degli altri componenti il nucleo familiare. La società si è inoltre impegnata a non utilizzare, per quanto riguarda le informazioni già raccolte, dati sensibili o relativi a soggetti diversi dai compilatori.

Fermo restando quanto stabilito con il precedente provvedimento,l´Autorità ha pertanto ritenuto che la stessa società potesse proseguire il trattamento delle informazioni non aventi carattere sensibile, e relative ai compilatori del questionario, ai soli fini dello svolgimento del concorso e delle iniziative a questo funzionali il Garante ha ritenuto possibile comunicare i dati alle aziende interessate soltanto in forma anonima.

Anche nell´ambito del rapporto tra datore di lavoro e dipendenti sono emersi alcuni delicati problemi inerenti all´adempimento degli obblighi di informativa e di acquisizione del consenso.

La disciplina dei trattamenti di dati personali nell´ambito del rapporto di lavoro è particolarmente delicata e, com´è noto, dovrà essere completata con i decreti legislativi previsti dalla legge n. 676/1996.

Allo stato attuale, la normativa sulla privacy impone al datore di lavoro di acquisire il consenso informato del dipendente in due specifici casi: per le operazioni di raccolta e di utilizzazione dei dati sensibili anche se connesse all´adempimento di obblighi di legge o di contrattazione collettiva, nonché per la comunicazione a terzi dei suoi dati non sensibili. Ciò comporta in ogni caso l´attuazione da parte delle aziende dei predetti obblighi di informativa e richiesta del consenso nei riguardi del personale dipendente, che in alcuni casi, in questa fase di prima applicazione della legge, sono stati congegnati con modalità tali (ad esempio, linguaggio burocratico, atteggiamento vessatorio, formulazioni generiche o generalizzate, assenza di precisi elementi richiesti dalla legge, ecc.) da determinare un rifiuto dei dipendenti a prestare il consenso al trattamento dei dati personali anche quando quest´ultimo sia effettuato nel loro esclusivo interesse.

Il caso più rilevante tra quelli, numerosi, esaminati dal Garante, riguarda alcuni reclami presentati da dipendenti dell´ENEL e da un´organizzazione sindacale, i quali lamentavano la non rispondenza ai princìpi sanciti dalla normativa sulla protezione dei dati personali delle comunicazioni inviate dalle società subito dopo l´entrata in vigore della legge.

La modulistica inviata agli interessati, redatta nella fase di prima applicazione della legge (prima che il Garante, con il provvedimento relativo al caso BNL, indicasse taluni princìpi essenziali), conteneva alcuni passaggi non sufficientemente chiari e precisi in ordine ai trattamenti svolti dalla società titolare nell´ambito del rapporto di lavoro e alle ipotesi di manifestazione del consenso del dipendente.

L´Autorità ha ritenuto pertanto opportuno effettuare un´immediata verifica presso il titolare del trattamento e segnalare gli aggiustamenti necessari per semplificare la modulistica e renderla più comprensibile agli interessati.

I modelli di informativa e di consenso sono stati quindi riesaminati dall´ENEL e sottoposti nuovamente all´attenzione del Garante, il quale, nel fornire alcune ulteriori indicazioni, ha invitato nell´ottobre `97 la società ad inviare la nuova informativa a tutti i dipendenti (compresi quelli che avevano già prestato il proprio consenso), e a reiterare le richieste di consenso, sulla base di questa comunicazione, per i dipendenti che non lo avevano ancora prestato o che si erano rifiutati di prestarlo.

In conclusione, si osserva che anche per altri settori continuano ad arrivare all´Ufficio numerose segnalazioni di mancato o non corretto adempimento degli obblighi di informativa e di consenso.

Molti soggetti che si accingono a raccogliere o gestire dati personali ancora non forniscono alcuna informativa agli interessati (limitandosi il più delle volte ad un mero richiamo della legge n. 675/1996) o non comunicano alcune specifiche informazioni previste dall´art. 10. Nei casi più gravi rilevati dall´Autorità sarà necessario provvedere all´applicazione delle sanzioni amministrative pecuniarie di cui all´art. 39 della legge n. 675/1996.

Più in generale, il Garante sarà impegnato nel corso del prossimo anno nel fornire ulteriori chiarimenti per la corretta esecuzione degli adempimenti connessi alla raccolta ed al trattamento di informazioni personali, anche attraverso la predisposizione di alcuni modelli-tipo che, siano sintetici, semplici e più comprensibili, pur mantenendo ferme sostanziali ed adeguate garanzie a tutela dei diritti degli interessati.

 

45. Salute


I l quadro normativo in materia di protezione dei dati personali idonei a rivelare lo stato di salute presenta caratteristiche di specialità rispetto al complesso delle disposizioni concernenti i dati personali cosiddetti "ordinari" o "comuni".

Tale "specialità", dovuta alla delicatezza che contraddistingue questi dati e al concreto pericolo della loro utilizzazione a fini discriminatori, si rinviene già nella normativa europea di riferimento.

L´art. 6 della Convenzione n. 108, adottata dal Consiglio d´Europa il 28 gennaio 1981 (Convenzione di Strasburgo), detta linee-guida per la disciplina di alcune "categorie speciali di dati". In particolare, stabilisce il divieto di elaborazione automatica dei dati personali relativi, fra l´altro, allo stato di salute e alla vita sessuale, fatto salvo il loro trattamento in presenza di garanzie adeguate previste in modo specifico dal diritto interno.

Successivamente, l´articolo 8 della direttiva 24 ottobre 1995, n. 95/46/CE, rafforzando le indicazioni contenute nella Convenzione di Strasburgo, ha individuato una serie di garanzie in mancanza delle quali il trattamento di "particolari categorie di dati" deve essere vietato.

Tali princìpi generali, meglio precisati nella Raccomandazione N. R (81) 1 relativa alle banche di dati sanitari automatizzate del 23 gennaio 1981 (recentemente sostituita dalla Raccomandazione N. R (97) 5 del 13 febbraio 1997 sulla protezione dei dati sanitari), sono stati recepiti nel nostro Paese dalla legge 31 dicembre 1996, n. 675/1996, la quale ha riservato ai dati cosiddetti "sensibili", tra i quali anche quelli idonei a rivelare lo stato di salute, una disciplina giuridica più severa (artt. 22 e 23 della legge n. 675/1996).

L´articolo 22, quale norma generale in materia di dati sensibili, stabilisce che tali dati possono essere oggetto di trattamento solo con il consenso scritto dell´interessato e previa autorizzazione del Garante.

Fa eccezione a questa regola il trattamento dei dati sensibili da parte dei soggetti pubblici, per i quali l´art. 22, comma 3, rende superflua l´acquisizione del consenso e dell´autorizzazione del Garante, demandando a norme primarie il compito di specificare, caso per caso, l´ambito di operatività del trattamento, ovvero "i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite ".

Ciò comporta che le pubbliche amministrazioni dovranno rivedere la normativa in base alla quale hanno finora raccolto ed elaborato le informazioni sensibili nei diversi settori di competenza.

Il nuovo regime introdotto dalla legge n. 675/1996 per i soggetti pubblici che trattano dati sensibili è stato temperato, tuttavia, da una disposizione transitoria che consente di proseguire il trattamento fino al 7 maggio 1998, anche in assenza di una espressa disposizione di legge, previa comunicazione al Garante che può esperire gli opportuni controlli (art. 41, comma 5, della legge n. 675/1996).

Tale facoltà può essere esercitata anche quando il trattamento sia iniziato prima dell´8 maggio 1997 e riguardi dati raccolti in epoca successiva. Cosìha precisato il Garante nel parere reso in data 12 novembre 1997, nel quale ha chiarito alcune questioni relative all´applicazione degli articoli 22 e 23 della legge n. 675 agli organismi sanitari pubblici.

L´articolo 23, infatti, che riguarda specificamente i "dati inerenti alla salute", integra, per alcuni aspetti, la regolamentazione contemplata nell´articolo precedente. In particolare, stabilisce che il trattamento dei dati personali idonei a rivelare lo stato di salute da parte degli esercenti le professioni sanitarie e gli organismi sanitari pubblici può avvenire:

a) anche senza l´autorizzazione del Garante, ma sempre con il consenso scritto dell´interessato, quando il trattamento è finalizzato alla tutela dell´incolumità fisica e della salute dell´interessato;

b) con l´autorizzazione del Garante, qualora il consenso scritto non sia o non possa essere prestato dall´interessato, se le medesime finalità riguardano un terzo o la collettività.

Rimane pertanto fermo che, al di fuori di queste ipotesi, ovvero nei casi di trattamenti non autorizzati dalla legge o non indispensabili per la tutela della salute dell´interessato, di un terzo o della collettività, deve essere osservata la regola generale della doppia condizione del consenso scritto dell´interessato e dell´autorizzazione del Garante. Quest´ultima, salvo casi di particolare urgenza, è rilasciata sentito il Consiglio superiore di sanità.

Il Garante, tuttavia, in questa prima fase transitoria di applicazione della legge n. 675/1996, allo scopo di garantire il rispetto dei diritti e delle libertà fondamentali della persona e, al tempo stesso, di semplificare gli adempimenti prescritti, si è avvalso, come si è visto in precedenza, della facoltà prevista dall´art. 41, comma 7 (come modificato dall´art. 4, comma 1, del decreto legislativo 9 maggio 1997, n. 123), di rilasciare autorizzazioni mediante provvedimenti di carattere generale nei confronti di determinate categorie di titolari o di trattamenti.

Con l´autorizzazione n. 2/97, già illustrata nelle sue linee generali al paragrafo 2.3.2, il Garante ha autorizzato il trattamento dei dati idonei a rivelare lo stato di salute anche da parte dei soggetti pubblici che agiscano nella qualità di autorità sanitarie, ogniqualvolta il trattamento non sia previsto da una specifica disposizione di legge, sia finalizzato alla tutela dell´incolumità fisica e della salute di un terzo o della collettività e manchi il consenso scritto dell´interessato, che non lo abbia prestato o non possa prestarlo per effettiva irreperibilità , per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere.

Di tale provvedimento si è avvalso, ad esempio, il Ministro della sa-nità in sede di emanazione dell´ordinanza 23 dicembre 1997, con cui ha disposto per tutti coloro che ne fossero in possesso, di provvedere alla consegna della documentazione clinica inerente il trattamento di patologie oncologiche secondo il c.d. metodo Di Bella.

Particolare attenzione è stata dedicata, nella citata autorizzazione, ai dati genetici e alle informazioni relative ai nascituri, stabilendo - per  i primi - esclusioni soggettive e limitazioni nelle finalità (i dati genetici possono essere trattati, sulla base del consenso scritto dell´interessato, soltanto per fini di prevenzione, di diagnosi o terapia o per finalità di ricerca scientifica), nonché il divieto di comunicazione, e rinviando, per i secondi, ai criteri delineati nella raccomandazione N. R (97) 5 del Consiglio d´Europa.

La disciplina in materia di protezione dei dati inerenti alla salute è, pertanto, articolata in un intreccio di ipotesi ed eccezioni tali da sollevare alcuni problemi interpretativi sui quali il Garante è stato invitato a pronunciarsi.

Il primo parere, reso da questa Autorità in data 30 giugno 1997, riguarda alcuni quesiti posti dalla Federazione nazionale dell´Ordine dei medici riguardo alla pubblicità degli albi professionali dei medici e degli odontoiatri e ad alcune modalità applicative della legge n. 675 in riferimento ai medici di medicina generale.

Il Garante ha affrontato, in quel contesto, alcuni aspetti inerenti alla trasparenza dei dati personali rilevabili dagli albi dei medici (v. paragrafo 43) e, per quanto concerne specificatamente i dati inerenti alla salute, ha chiarito che il medico che sostituisce formalmente un collega può utilizzarne lo schedario dei pazienti, ove vi sia stato uno specifico consenso degli interessati.

Tale consenso, che deve essere prestato per iscritto, deve intendersi necessario (salvo che si persegua una finalità di tutela dell´incolumità fisica e della salute di un terzo o della collettività : art. 23, comma 1, legge n. 675), sia per i dati raccolti successivamente all´entrata in vigore della legge sia, nel caso in cui siano comunicati o diffusi, per le informazioni acquisite anteriormente.

In relazione agli studi professionali, il Garante ha precisato che i professionisti che si associano per l´esercizio della professione medica possono regolare i propri rapporti nel trattamento dei dati personali in modi diversi, realizzando, a seconda dei casi:

a) una gestione individuale e separata dei dati in possesso di ciascun professionista, che assume, conseguentemente, la qualità di "titolare" del trattamento;

b) una contitolarità da parte di tutti o di alcuni dei professionisti, i quali vengono a condividere a titolo personale le prerogative e le responsabilità del "titolare" del trattamento;

c) un´unica attività di elaborazione dei dati personali effettuata nell´ambito di un´associazione o di un organismo che assuma di per se stesso la qualità di titolare del trattamento.

Con il medesimo provvedimento si è chiarito, infine, che le certificazioni rilasciate dai laboratori di analisi o dagli altri organismi sanitari, anche per quanto riguarda le cartelle cliniche, possono essere ritirati anche da persone diverse dai diretti interessati, purché sulla base di una delega scritta e mediante consegna dei documenti in busta chiusa.

In ordine alle modalità di esercizio dell´attività di intermediazione del medico, il solo che possa rendere noti all´interessato i dati personali idonei a rivelare lo stato di salute (art. 23, comma 2, legge n. 675/1996), il Garante ha precisato che questa funzione di intermediazione può essere svolta in vario modo: a) attraverso la consegna dei dati al medico di fiducia designato dall´interessato, il quale a sua volta li renda noti a quest´ultimo; b) attraverso una spiegazione orale ovvero un giudizio scritto, da parte di un medico designato dal laboratorio di analisi o dall´organismo sanitario titolare del trattamento dei dati personali.

Proseguendo nell´intento di chiarire il più possibile i dubbi interpretativi e di semplificare l´applicazione della legge in ambito sanitario, l´Autorità , rispondendo a numerosi quesiti ricevuti da parte di medici, farmacisti e di loro organizzazioni rappresentative, ha fornito ulteriori indicazioni e suggerimenti nella pronuncia del 13 febbraio 1998.

In tale provvedimento, in cui sono state affrontate in particolare le tematiche dell´informativa e del consenso, si è ribadito che gli esercenti le professioni sanitarie che intendono trattare i dati sullo stato di salute dei loro pazienti devono informare preventivamente gli interessati circa l´utilizzazione che desiderano farne, specificando tutti i trattamenti che saranno effettuati e la loro natura obbligatoria o facoltativa, in modo da porre gli assistiti nella condizione di poter esprimere un consenso "specifico", ovvero differenziato in relazione a ciascun trattamento.

A tal fine, si è detto, i sanitari possono operare autonomamente o sulla base di informative e di modelli di consenso elaborati dagli ordini professionali.

Peraltro, in un´ottica di semplificazione, il Garante ha ipotizzato che la raccolta del consenso, per i medici di famiglia, possa eventualmente avvenire per il tramite delle aziende sanitarie locali all´atto della scelta del medico di fiducia, se del caso anche in relazione ai relativi sostituti. In tal caso, le aa. ss. ll. potrebbero successivamente inviare ai medici la relativa documentazione, analogamente a quanto avviene per i modelli di scelta e di revoca del medico.

Problematiche analoghe sono state segnalate in relazione al trattamento delle ricette mediche necessarie per l´acquisto dei farmaci, le quali vengono conservate presso i farmacisti ed inviate, in copia, alle aziende sanitarie locali per ottenerne il corrispettivo.

Ferme restando le decisioni che sono state adottate dal Parlamento per ciò che riguarda le ricette mediche nel loro complesso (legge di conversione del c.d. "decreto Di Bella"), una soluzione potrebbe essere ravvisata inserendo nell´informativa e nella richiesta di consenso, sottoposte all´assistito prima dell´inizio dei trattamenti da parte degli esercenti le professioni sanitarie, un riferimento puntuale alle operazioni di trattamento effettuate dal farmacista.

In alternativa, si potrebbe prevedere l´inserimento dell´informativa e di una formula per la richiesta del consenso nei moduli utilizzati per le ricette mediche, che potrebbero essere sottoscritti dall´interessato prima della consegna al farmacista.

Infine, nel medesimo provvedimento, il Garante si è pronunciato sulla questione, già sollevata dall´Ordine dei medici di Pescara all´indomani dell´entrata in vigore della legge n. 675/1996, relativa all´omissione della diagnosi o del sospetto diagnostico sulla certificazione sanitaria destinata alle aziende sanitarie locali.

A tale riguardo, il Garante ha ritenuto che le amministrazioni interessate debbano individuare i trattamenti per i quali gli adempimenti di carattere amministrativo impongono di indicare le patologie riscontrate negli assistiti e che, d´altra parte, debbano predisporre formulari e modelli differenziati per i casi in cui questa indicazione non risulti indispensabile per il perseguimento delle finalità amministrative connesse al servizio sanitario.

Nelle more della predisposizione di questi moduli, è stato suggerito ai medici di omettere fin d´ora l´indicazione della patologia specifica nella copia dei certificati destinati al trattamento da parte del personale non medico.

Questa posizione è stata ulteriormente ribadita nelle osservazioni che questa Autorità ha ritenuto di dover sottoporre alla Presidenza della Commissione igiene e sanità del Senato, in relazione al decreto-legge in materia di sperimentazioni cliniche in campo oncologico e altre misure in materia sanitaria (cosiddetto "decreto Di Bella", decreto-legge 17 febbraio 1998, n. 23).

In tale occasione la Commissione ha recepito, attraverso appositi emendamenti, i suggerimenti del Garante in materia di compilazione e conservazione delle ricette mediche, nonché in tema di consenso informato, come risulta anche dalla legge di conversione.

Il rispetto della dignità e della riservatezza dei pazienti interessati al "multitrattamento Di Bella" ha suggerito una nuova misura di salvaguardia dell´anonimato, mediante l´omissione dell´annotazione del loro nominativo sulle ricette. Le esigenze delle verifiche amministrative possono essere soddisfatte apponendo sulla ricetta un riferimento numerico o alfanumerico in collegamento a dati d´archivio in possesso del medico e che consentono di risalire all´identità del paziente trattato qualora l´autorità sanitaria ne faccia richiesta.

L´indicazione della diagnosi deve essere omessa nel caso della visita medica effettuata ai fini dell´iscrizione nelle liste di collocamento e per il riconoscimento dell´invalidità civile. In questo senso si è espresso il Garante in data 19 dicembre 1997, rispondendo ad un quesito relativo alla compatibilità delle norme della legge n. 675/1996 con quelle stabilite dalla legge 5 giugno 1990, n. 135, in materia di prevenzione e lotta contro l´AIDS.

In tale provvedimento il Garante, sulla base della premessa che la legge n. 675/1996 si pone in armonia con le finalità perseguite dalla legge n. 135/1990, soprattutto per quanto riguarda l´intento del legislatore di evitare che si pongano in essere comportamenti discriminatori nei confronti dei soggetti sieropositivi o affetti da HIV, ha chiarito che per poter iscrivere una persona nelle liste di collocamento è sufficiente l´indicazione della percentuale di invalidità riscontrata.

Soltanto in vista dello svolgimento di un´attività lavorativa che possa comportare un serio rischio di contagio per i terzi, la persona affetta da HIV sarà tenuta a fornire le indicazioni relative alla malattia, conformemente a quanto ritenuto dalla Corte Costituzionale nella sentenza n. 218 del 1994.

Le richieste di chiarimenti e le segnalazioni pervenute in numero assai elevato a questa Autorità, evidenziano che la disciplina della riservatezza in ambito sanitario presenta un ampio quadro di problematiche che necessitano di essere risolte in sede di decreti delegati.

 

46. Lavoro


A nche la problematica dell´incidenza del trattamento dei dati personali nell´ambito del rapporto di lavoro trova una disciplina di riferimento nelle linee-guida desumibili dalla Convenzione del Consiglio d´Europa n. 108 del 28 gennaio 1981. Le relative norme in materia di qualità dei dati, orientate ai princìpi di trasparenza, finalità e pertinenza dei dati rispetto agli scopi perseguiti, si applicano al datore di lavoro in termini significativi.

Una rilevanza più specifica riguardo all´uso dei dati personali nel rapporto di lavoro è assunta dalla Raccomandazione N. R (89) 22 del 18 gennaio 1989, che raccomanda agli Stati membri di recepire i princìpi del rispetto della dignità della vita privata e della dignità umana del lavoratore, come pure della possibilità di profique relazioni sociali ed individuali nei luoghi di lavoro, che dovranno trovare tutela anche in riferimento al profilo della raccolta e dell´utilizzo dei dati a carattere personale nel lavoro.

La Raccomandazione introduce la definizione di dati finalizzati al  lavoro ritenendo tali i dati, relativi a tutti i rapporti tra i lavoratori e i datori di lavoro, raccolti ed utilizzati nella fase della costituzione e della gestione del rapporto di lavoro, compresi quelli utilizzati per l´attività di mediazione tra domanda e offerta di lavoro dagli uffici di collocamento pubblici e privati.

La disciplina contenuta nella Raccomandazione è significativa in quanto evidenzia le problematiche connesse con la raccolta, il trattamento e la circolazione dei dati personali nel rapporto di lavoro, prefigurando un diritto di accesso non solo individuale ma anche collettivo.

In tal senso è importante rilevare che la legge 31 dicembre 1996, n.676, conferisce al Governo la delega ad emanare, entro diciotto mesi, decreti legislativi volti a garantire la piena attuazione dei princìpi previsti dalla legislazione in materia di dati personali nell´ambito dei diversi settori di attività e nel rispetto dei criteri direttivi e dei princìpi affermati dalle Raccomandazioni adottate dal Consiglio d´Europa, fra le quali, appunto, figura quella del 18 gennaio 1989 (art. 1, comma 1, lett. b), n. 4, legge n. 676/1996 citata).

Ulteriori e vincolanti riferimenti alla disciplina del rapporto di lavoro in relazione al trattamento dei dati personali sono contenuti nella direttiva 24 ottobre 1995, n. 95/46/CE, la quale, oltre ai princìpi "orizzontali" sulla qualità dei dati (determinazione delle finalità , adeguatezza, pertinenza e non eccedenza dei dati, ecc.) reca nell´art. 8, in tema di dati sensibili, due importanti disposizioni; una di queste, nel prevedere che gli Stati membri possano considerare insufficiente il solo consenso dell´interessato quale parametro per il trattamento dei dati, tiene implicitamente ma certamente conto di disposizioni come quelle dello Statuto dei lavoratori italiano che pongono alcune garanzie che vanno oltre la dimensione del consenso. L´altra richiede la precisione di adeguate garanzie per il caso in cui il trattamento serva per assolvere obblighi e diritti specifici del titolare in materia di diritto del lavoro.

Inoltre, l´art. 15, par. 1, della medesima direttiva impone agli Stati membri di riconoscere a qualsiasi persona il diritto di non essere sottoposta ad una decisione fondata esclusivamente su un trattamento automatizzato dei dati personali destinato a valutare taluni aspetti della sua personalità , quali, ad esempio, il rendimento professionale, il credito, l´affidabilità, il comportamento, a meno che tale decisione sia presa nel contesto della conclusione o dell´esecuzione di un contratto, ovvero sia autorizzata da una legge la quale precisi i provvedimenti atti a salvaguardare un interesse legittimo della persona interessata.

La legge 31 dicembre 1996, n. 675/1996, non disciplina in maniera dettagliata il trattamento dei dati personali nell´ambito del rapporto di lavoro, ma è affiancata da una previsione di delega contenuta nella legge n. 676 che preannuncia alcune regole più specifiche in attuazione della citata Raccomandazione. Peraltro, la legge n. 675 ha raccolto la sentita esigenza di evitare che l´applicazione di alcune regole quali quelle in tema di consenso e di sicurezza potesse comportare l´effetto non voluto di derogare alle disposizioni dello Statuto dei lavoratori sui controlli a distanza e sulla pertinenza dei dati.

D´altro canto, l´esonero previsto dal d.lg. n. 25/97 per ciò che riguarda la notificazione al Garante dei trattamenti finalizzati all´adempimento di obblighi contabili, retributivi, previdenziali, assistenziali e fiscali ha introdotto un´opportuna semplificazione nell´ambito della gestione dei rapporti di lavoro che evita, sia pure nell´ambito della sola notificazione, un approccio generalizzato e privo della necessaria modulazione.

La legge stabilisce, in linea generale, che il trattamento dei dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell´interessato; tale principio subisce una deroga nel caso in cui il trattamento riguardi dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria (si pensi alla disciplina in materia di documentazione dello svolgimento della prestazione lavorativa e in materia previdenziale ed assistenziale) ovvero nel caso in cui la raccolta e l´elaborazione siano necessarie per eseguire obblighi derivanti da un contratto del quale è parte l´interessato.

In linea con l´articolo 15 della direttiva 95/46/CE, la legge n. 675/1996 stabilisce, all´articolo 17, il principio secondo cui, qualsiasi atto o provvedimento giudiziario o amministrativo il quale implichi una valutazione del comportamento umano, non può essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell´interessato.

Nell´ambito del rapporto di lavoro, la norma suddetta vieta al datore di lavoro di fondare il proprio atto (si pensi alla concessione di benefici economici o all´individuazione di lavoratori da promuovere) esclusivamente su procedure automatizzate le quali, anche attraverso un´interconnessione di dati, sia pure lecitamente raccolti, consentano di costruire il profilo professionale del lavoratore.

Con riguardo alla comunicazione e alla diffusione dei dati, l´art. 20 della legge n. 675/1996 richiede, in alternativa al consenso dell´interessato, che la comunicazione sia imposta in adempimento di un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria. Quindi, in relazione a tale disciplina, il datore di lavoro può, senza richiedere il consenso dei lavoratori, rendere noti i dati personali dei medesimi laddove una norma glielo imponga (si pensi alle comunicazioni dell´avvenuta assunzione del lavoratore ai sensi dell´art. 9-bis, della legge 28 novembre 1996, n. 608, ovvero alle comunicazioni dei nominativi dei lavoratori per i quali vengono avviate le procedure di mobilità ai sensi dell´art. 4 della legge 23 luglio 1991, n. 223).

Proprio quest´ultimo profilo ha caratterizzato una pronuncia di questa Autorità in materia di integrazione salariale. Il Garante ha infatti constatato che in assenza dell´integrazione normativa che l´Autorità stessa ha poi suggerito, l´INPS può raccogliere i dati personali dei lavoratori che beneficiano del trattamento di integrazione salariale, in quanto il trattamento medesimo è correlato allo svolgimento delle funzioni istituzionali dell´Istituto (art. 27, primo comma, della legge n. 675/1996); il datore di lavoro invece deve acquisire il consenso dei singoli lavoratori interessati, in quanto l´obbligo di trasmettere i predetti dati all´INPS non si rinviene ancora nella legge o in un regolamento (art. 20, primo comma, lett. c) della legge n. 675/1996).

Il Garante ha perciò provveduto a segnalare al Ministro del lavoro e della previdenza sociale l´opportunità che il suddetto flusso di dati che i datori di lavoro devono trasmettere all´INPS sia menzionato specificamente dalla legge o dai regolamenti che disciplinano i compiti dell´INPS in materia. Ciò renderebbe superflua l´acquisizione da parte dei datori di lavoro del consenso dei lavoratori interessati nell´ambito di una procedura che è disciplinata già , per altri aspetti, dalle leggi o dai regolamenti, e che si svolge nel diretto interesse dei lavoratori stessi.

Un aspetto di particolare importanza nel trattamento di dati personali nell´ambito del rapporto di lavoro è, certamente, quello che riguarda i dati sensibili che, come noto, benché riferiti ad aspetti strettamente connaturati al rapporto di lavoro (si pensi ai dati relativi alle rappresentanze sindacali) possono essere trattati solo con il consenso scritto dell´interessato e previa autorizzazione del Garante.

La legge n. 675/1996 incentra la legittimità del trattamento dei suddetti dati sul provvedimento autorizzatorio del Garante, assegnando una rilevanza non esclusiva alla manifestazione del consenso scritto dell´interessato, tenuto conto della delicatezza della categoria dei dati.

Come già riferito in precedenza, il Garante si è avvalso della possibilità di rilasciare un´autorizzazione generale al fine di semplificare gli adempimenti che la legge n. 675/1996 pone a carico dei datori e di altri titolari di trattamenti finalizzati alla gestione dei rapporti di lavoro, e ciò nella considerazione che un ampio numero di trattamenti di dati sensibili è effettuato ai soli fini dell´adempimento di obblighi contabili, retributivi, previdenziali, assistenziali e fiscali.

A tale scopo, con la citata autorizzazione n. 1/97 del 19 novembre 1997 (in G.U. del 21 novembre 1997, n. 272), emanata dopo la consultazione di alcune parti sociali, il Garante ha inteso facilitare la gestione dei rapporti di lavoro nel rispetto dei diritti e delle libertà fondamentali dei lavoratori dipendenti ed autonomi, dedicando a tale materia la prima delle autorizzazioni generali complessivamente rilasciate.

Appare opportuno richiamare ancora l´attenzione sulla circostanza che il Garante, nel tenere conto del fatto che la disciplina legislativa della tutela dei diritti della persona nel mondo del lavoro dovrà essere completata entro il 23 luglio 1998 in attuazione della legge delega n.676/1996, ha emanato il suddetto provvedimento autorizzatorio attenendosi a un criterio di massima valido anche per le altre autorizzazioni generali, volto ad evitare che l´innesto di ulteriori garanzie rispetto a quelle già previste dalla legge n. 675 comportasse inutili contraccolpi nell´ordinaria gestione delle aziende.

Non può non rilevarsi che, secondo un´indicazione contenuta nella citata Raccomandazione del Consiglio d´Europa (principio 1.4), occorrerà far fronte ai nuovi scenari che si sono aperti, ad esempio con l´ingresso di agenzie fornitrici di prestazioni di lavoro temporaneo, ai sensi della legge 24 giugno 1997, n. 196, scenari che richiederanno la predisposizione di adeguate tutele per il trattamento dei dati personali. In questa prospettiva, l´autorizzazione n. 1/97 individua alcune prime regole, ricomprendendo nel proprio ambito di applicazione i soggetti che utilizzano prestazioni lavorative temporanee ai sensi della legge n. 196/1997.

Un´ulteriore problematica si è presentata con riferimento al trattamento dei dati sensibili da parte del datore di lavoro, sulla base di espressa delega, che riscuota, le ritenute sindacali. Sul punto, il Garante è intervenuto con una riflessione di cui si è dato atto con un comunicato stampa nel quale si è ricordato che l´adesione all´organizzazione sindacale deve essere accompagnata dalla manifestazione del consenso affinché i dati riguardanti l´iscrizione sindacale vengano comunicati al datore di lavoro e, da quest´ultimo, siano trattati nella misura necessaria all´adempimento di obblighi previsti dalla legge e dai contratti.

Peraltro, il Garante ha suggerito una formula di espressione del consenso che oltre ad essere sintetica e riproducibile con facilità su moduli e tessere sindacali, permette anche di "autorizzare" in un´unica soluzione anche l´ulteriore trattamento dei dati da parte del datore di lavoro finalizzati alla gestione dei contributi.

 

47. Ricerca scientifica e statistica


L a legge n. 675/1996 si occupa della ricerca scientifica e della statistica nell´articolo 12, comma 1, lett. d), ove si prevede che il consenso non è richiesto quando il trattamento è finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratta di dati anonimi, nonché all´articolo 21, comma 4, lett. a), il quale stabilisce che la comunicazione e la diffusione dei dati personali sono comunque permesse qualora siano necessarie per finalità di ricerca scientifica o di statistica e si tratti di dati anonimi, a prescindere dalla veste pubblica o privata del "titolare del trattamento".

Le eccezioni poste dagli articoli sopra ricordati, relative ai soli dati anonimi, evidenziano la circostanza che la ricerca scientifica e la statistica non sono escluse dall´applicazione delle norme in materia di protezione dei dati personali.

Naturalmente, a seconda della figura del titolare del trattamento, muta la disciplina di riferimento. Il soggetto pubblico che elabora dati comuni non deve chiedere il consenso dell´interessato; se oggetto del trattamento sono i dati sensibili devono essere rispettate, poi, le maggiori garanzie previste dagli articoli 22, comma 3, 23 e 24.

I privati e gli enti pubblici economici che trattano i dati comuni (non anonimi) devono richiedere necessariamente il consenso dell´interessato (v. art. 12, comma 1, lett. d) e art. 21, comma 4, lett. a) citati). Per i dati sensibili, invece, valgono le regole generali di cui agli articoli 22 e 23 che prevedono maggiori garanzie.

Alla luce della disciplina sopra richiamata, appare evidente che i tradizionali metodi di ricerca scientifica e di analisi statistica operati in ambito sia pubblico sia privato devono essere oggetto di riflessione da parte degli operatori, al fine di prevedere, anzitutto, un maggior utilizzo di dati anonimi anziché personali, e di individuare, al tempo stesso, alcune linee direttrici dell´intervento normativo complementare che dovrà affrontare nel dettaglio le diverse problematiche sottese alla ricerca storica e scientifica e alla statistica, riducendo l´impiego di dati che non siano anonimi e prevedendo, nel contempo, idonee garanzie a favore dell´interessato.

Giova infatti evidenziare che le stesse disposizioni del d.lg. 6 settembre 1989, n. 322, in tema di statistica, pur non ponendosi in un contrasto di fondo con la legge n. 675/1996, meritano alcune integrazioni e rettificazioni anche perché sono state fatte salve dalla stessa legge solo in quanto "compatibili" con la nuova disciplina in materia di protezione dei dati personali (art. 43, comma 2, legge n. 675/1996).

È di tutta evidenza che l´attuazione mediante decreto delegato della Raccomandazione N. R (93) 10 nelle materie storiche o della ricerca e della statistica potrà tener conto dell´ulteriore e recente Raccomandazione N. R (97) 18 del 30 settembre 1997 che il Consiglio d´Europa ha varato in tema di protezione di dati a carattere personale utilizzati a fini di ricerca scientifica e di statistica, poiché il Parlamento, nell´approvare la legge-delega n. 676, ha consapevolmente inserito nella legge stessa un riferimento ("e successive modificazioni" art. 1, comma 1, lett. a)) al chiaro scopo di permettere al legislatore delegato di tener conto della nuova e citata Raccomandazione all´epoca in itinere presso il Consiglio d´Europa.

Le disposizioni della legge n. 675 suscettibili di incidere sulla ricerca dovranno essere quindi oggetto di attenta riflessione per verificare se, ed in quale misura, occorrano ulteriori misure per bilanciare i diritti della personalità e lo sviluppo della ricerca, anche epidemiologica, in particolare sotto il profilo delle garanzie adeguate da osservare rispetto ai dati raccolti originariamente per altri scopi e che si intenda conservare per motivi statistici o scientifici.

Il Garante ha già iniziato l´esame di questi aspetti, in particolare allorchè ha emanato l´autorizzazione n. 2/97 sui dati idonei a rivelare lo stato di salute e la vita sessuale.

Più precisamente, nel definire con il suddetto provvedimento autorizzatorio l´ambito di applicazione e le finalità del trattamento, si è fatto riferimento alle persone fisiche o giuridiche, agli enti, alle associazioni e agli altri organismi privati, "per scopi di ricerca scientifica, anche statistica, finalizzata alla tutela della salute dell´interessato, di terzi o della collettività in campo medico, biomedico o epidemiologico, allorché si debba intraprendere uno studio delle relazioni tra i fattori di rischio e la salute umana, o indagini su interventi sanitari di tipo diagnostico, terapeutico o preventivo, ovvero sull´utilizzazione di strutture socio-sanitarie, e la disponibilità di dati solo anonimi su campioni della popolazione non permetta alla ricerca di raggiungere i suoi scopi.". In tali casi, ha aggiunto il Garante, "occorre acquisire il consenso (fermo restando quanto previsto dall´articolo 23, comma 1, ultimo periodo, della legge n. 675/1996), e il trattamento successivo alla raccolta non deve permettere di identificare gli interessati anche indirettamente, salvo che l´abbinamento al materiale di ricerca dei dati identificativi dell´interessato sia temporaneo ed essenziale per il risultato della ricerca, e sia motivato, altresì, per iscritto. I risultati della ricerca non possono essere diffusi se non in forma anonima".

Questo primo assetto della materia è , ovviamente, parziale e temporaneo, e dovrà essere rivisto alla luce delle prossime novità normative.

Da ultimo, si ritiene opportuno evidenziare un´importante novità intervenuta in materia. Il Consiglio dei ministri, nella seduta del 27 febbraio 1998, ha approvato uno schema di decreto legislativo recante norme in materia di ricerca scientifica e tecnologica, sottoposto all´esame del Parlamento, nel quale sono state dettate alcune disposizioni volte a promuovere e sostenere la ricerca e la collaborazione in campo scientifico e tecnologico. Più precisamente, s´intende prevedere che le pubbliche amministrazioni, ivi comprese le università e gli enti di ricerca, ferme restando le disposizioni della legge n. 675/1996 sulla tutela dei diritti dell´interessato, possano, con autonome determinazioni, comunicare e diffondere, anche a privati e per via telematica, i dati relativi all´attività di studio e di ricerca, a laureati, dottori di ricerca, tecnici e tecnologi, ricercatori, docenti, esperti e studiosi, con esclusione dei dati sensibili o attinenti a provvedimenti giudiziari; tali dati potrebbero essere successivamente trattati per le sole finalità in base alle quali saranno comunicati o diffusi.

 

48. Telefonia e servizi di telecomunicazione


I l Garante, nel suo primo anno di attività, ha dedicato particolare attenzione alla tematica della protezione dei dati personali nel settore dei servizi della multimedialità e delle telecomunicazioni e, in particolare, della telefonia.

Nel 1997, in attuazione della direttiva 96/2/CE sulle comunicazioni mobili e personali, è stata introdotta una normativa sulla liberalizzazione di tali servizi (decreto legge 1 maggio 1997, n. 115, convertito con legge 1 luglio 1997, n. 189) ed è stata avviata una revisione della disciplina legislativa del settore, che per gli aspetti relativi alla riservatezza e alla sicurezza dei dati dovrebbe rifluire, però , nei decreti delegati previsti dalla legge-delega n. 676/1996.

Tale legge, tra gli altri profili della delega alla quale si è accennato più volte, include nelle tematiche oggetto dei decreti delegati anche l´attuazione della Raccomandazione del Consiglio d´Europa N. R (95) 4 del 7 febbraio 1995, in materia di protezione della vita privata nel settore delle telecomunicazioni, che a sua volta è strettamente connessa alla citata direttiva comunitaria n. 97/66/CE del 15 dicembre 1997.

Nei primi mesi del suo funzionamento, l´Autorità ha seguito, come si è detto, l´iter legislativo di approvazione della legge n. 249/1997 istitutiva dell´Autorità per le garanzie nelle comunicazioni, guardando con favore, come già accennato, all´adozione da parte del Parlamento di alcune modifiche che hanno garantito una maggiore armonizzazione con la disciplina sulla tutela della sfera personale e un coordinamento, per quanto riguarda tale disciplina, dei poteri della nuova authority con le attribuzioni che la normativa comunitaria e la legge n. 675/1996 affidano in via primaria al Garante per la protezione dei dati personali.

Successivamente, il Garante ha affrontato i delicati problemi scaturiti dall´approvazione del d.P.R. 19 settembre 1997, n. 318, recante il "Regolamento per l´attuazione di direttive comunitarie nel settore delle telecomunicazioni", che ha introdotto nuove regole in materia di esercizio e fornitura delle reti di telecomunicazioni e di prestazione dei servizi accessibili al pubblico.

Tale regolamento, all´art. 15, rinvia espressamente, per ciò che riguarda la protezione dei dati, la tutela della riservatezza e le misure di sicurezza, alle disposizioni contenute nelle leggi 31 dicembre 1996, nn. 675 e 676, o a quelle che saranno inserite nei relativi decreti di attuazione. Analogo rinvio è previsto dall´art. 17, comma 1, lett. b), per ciò che riguarda i diritti degli abbonati in ordine all´inserzione nei relativi elenchi.

Tuttavia, l´art. 17, comma 3, del d.P.R. ha inoltre previsto l´obbligo per ogni organismo di telecomunicazione di "rendere disponibili, anche telematicamente, al centro elaborazione dati del Ministero dell´interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile".

Sotto vari profili, quest´ultima disposizione è apparsa in contrasto con la legge n. 675/1996 ed è stata oggetto, subito dopo la sua emanazione, di specifiche segnalazioni all´Autorità , provenienti dalla TIM S.p.a.-Telecom Italia Mobile, da associazioni di difesa dei cittadini e da singoli utenti del servizio telefonico.

Nelle segnalazioni pervenute all´Ufficio del Garante sono state evidenziate la genericità e la mancanza di motivazione della disposizione regolamentare, con particolare riferimento alle funzioni e alle finalità istituzionali del soggetto pubblico (che avrebbero dovuto giustificare la lesione del diritto di riservatezza degli abbonati e degli utenti del servizio telefonico) dovuto, nonché alle adeguate garanzie.

Il 1 ottobre 1997, in sede di risposta ad alcune interrogazioni parlamentari presentate presso la VIII Commissione (Lavori Pubblici, Comunicazioni) del Senato, il Governo ha dichiarato che il citato art. 17, comma 3, sarebbe divenuto operativo solo dopo l´emanazione dei decreti legislativi previsti dalla legge n. 676/1996, i quali dovranno disciplinare organicamente la materia della sicurezza e del trattamento dei dati personali nel settore delle telecomunicazioni; al tempo stesso, ha fatto notare che la citata disposizione non permette la divulgazione delle notizie attinenti al traffico telefonico e alla sfera privata delle persone.

Alla luce di queste dichiarazioni, il Garante ha deciso di differire l´esame delle segnalazioni pervenute.

Con successivo decreto ministeriale del 25 novembre 1997, il Ministro delle comunicazioni ha dettato alcune disposizioni integrative sul rilascio delle licenze individuali di telecomunicazione, con le quali si è ribadita l´inoperatività dell´obbligo previsto dal già citato art. 17, comma 3, del d.P.R. n. 318/1997.

In base a tale d.m., infatti, i titolari dei servizi di telefonia vocale hanno l´obbligo di rendere disponibile agli utenti e al pubblico l´elenco degli abbonati, anche al fine di permettere la realizzazione di elenchi telefonici generali. Al contrario, il medesimo decreto non riproduce tra gli obblighi dei titolari dei servizi quello di fornire gli elenchi al Ministero dell´interno.

In tal modo, è stata recepita una precisa indicazione che il Garante, consultato preventivamente ai sensi dell´art. 31, comma 2, della legge n. 675/1996, ha fornito con il proprio parere sullo schema normativo trasmesso dal Ministro delle comunicazioni.

Nello stesso schema di d.m., inoltre, venivano riprodotte in maniera pressochè meccanica, alcune disposizioni della recente direttiva comunitaria sulla tutela della vita privata nel settore delle telecomunicazioni attinenti alla sicurezza del trattamento dei dati di fatturazione. Poiché questo genere di disposizioni dovrebbe essere oggetto di una legislazione di rango primario anziché regolamentare, il Ministro ha recepito il suggerimento del Garante e le ha di seguito congegnate come una disciplina transitoria destinata a perdere efficacia alla data di entrata in vigore dei decreti legislativi previsti dalla legge n. 676/1996, cui è stata riservata la materia.

Nel mese di gennaio, dopo l´emanazione del d.m. sul rilascio delle licenze individuali, il Garante ha ritenuto necessario formalizzare una decisione, sia pure di carattere interlocutorio, in ordine alle segnalazioni sopraindicate, considerando fondati alcuni rilievi. Ai sensi dell´art. 31, comma 1, lett. m) della legge n. 675/1996, è stata pertanto segnalata al Governo l´opportunità che la materia venisse nuovamente esaminata sul piano normativo sulla base di alcune specifiche considerazioni.

Nel provvedimento, si è precisato infatti che l´art. 17 comma 3, del citato d.P.R. n. 318/97, una volta applicato, obbligherebbe i titolari dei servizi di telefonia fissa o mobile a rendere disponibili al C.e.d. del Dipartimento di pubblica sicurezza gli elenchi di tutti gli abbonati, nonché degli acquirenti del traffico prepagato, a prescindere dalla volontà degli interessati. Gli elenchi comprenderebbero anche le utenze per le quali gli abbonati manifestano la volontà di mantenerle riservate, e che non sono conoscibili al pubblico.

La disposizione finirebbe inoltre per introdurre in maniera surrettizia l´obbligo per i fornitori dei servizi di telefonia mobile di identificare per il tramite degli esercizi commerciali tutti gli acquirenti del traffico prepagato, sebbene per tale categoria di utenti non sia prevista, allo stato, la creazione di appositi elenchi resi disponibili al pubblico.

Si deve quindi ritenere che la creazione di un siffatto complesso di informazioni personali, e la sua messa a disposizione del C.e.d. del Dipartimento di pubblica sicurezza, contrasti con i princìpi previsti dalla legge n. 675/1996, richiamati dallo stesso d.P.R. n. 318, nonché con i diritti riconosciuti agli abbonati in ordine alla riservatezza dell´utenza e all´inserzione del proprio nominativo negli elenchi.

Non è stata messa in discussione l´esigenza dell´autorità giudiziaria o di polizia di disporre, in caso di indagine o per specifiche esigenze connesse alla difesa, alla sicurezza dello Stato o alla prevenzione dei reati, degli elementi necessari per identificare rapidamente il titolare di un´utenza anche riservata. Non è stata ritenuta parimenti pregiudicata la facoltà delle predette autorità di individuare un determinato abbonato e di disporre un´intercettazione telefonica a norma di legge.

Ciò che ha suscitato ampie perplessità è stato in primo luogo, l´ inserimento automatico e indistinto di una moltitudine di informazioni, anche riservate, relative a cittadini che non hanno pendenze di giustizia, in un centro elaborazione dati (nonché , di conseguenza, negli archivi giudiziari o di polizia eventualmente interconnessi) che ha precise finalità di raccolta dei dati che devono essere forniti in materia di tutela dell´ordine, della sicurezza pubblica e di prevenzione o repressione della criminalità (art. 6, primo comma, lett. a), legge n. 121/1981).

In sintonia con il complessivo quadro di garanzie che si prefigura anche in ambito internazionale rispetto agli archivi utilizzati per fini di polizia, non è apparso sufficiente finalizzare la tenuta per via telematica degli elenchi degli abbonati e degli acquirenti del traffico prepagato a generiche esigenze di tutela della sicurezza pubblica o di prevenzione dei reati.

È risultato invece necessario individuare in maniera più precisa alcune finalità collegate, ad esempio, alla prevenzione di gravi reati o di specifici illeciti a danno di uno o più soggetti (es.: molestie o procurato allarme per via telefonica) per il tramite degli esercizi commerciali.

È apparso inoltre indispensabile valutare altri profili delicati, quali quelli relativi alla reale necessità di far confluire i dati nel C.e.d. del Dipartimento di pubblica sicurezza anziché in un separato archivio, e alle garanzie per gli interessati, con particolare riguardo alla disciplina degli accessi alle utenze riservate.

Infine, si è osservato che la natura dei diritti coinvolti rende insostituibile l´utilizzo di un atto di rango legislativo anziché regolamentare. Questa conclusione appare peraltro confermata dall´insieme delle recenti disposizioni che attengono alla materia (art. 4 legge n. 675/1996; artt. 15 e 17, comma 1, d.P.R. n. 318/1997).

Il ricorso ad una disposizione normativa secondaria, quale l´art. 17, comma 3, del d.P.R. n. 318, risulta in contrasto anche con le previsioni della legge-delega n. 676/1996, che riservano ad un decreto legislativo la puntuale ricognizione dei trattamenti per finalità di polizia ai quali la disciplina sul trattamento dei dati personali si applica con alcuni adattamenti (art. 1, comma 1, lett. i), legge n. 676).

In conclusione, il Garante ha ritenuto opportuno che la tematica fosse nuovamente affrontata nell´ambito dei decreti legislativi di imminente emanazione volti a recepire la direttiva comunitaria n. 97/66/CE del 15 dicembre 1997 in materia di protezione della vita privata nel settore delle telecomunicazioni, con conseguente abrogazione della disposizione contenuta nell´art. 17, comma 3, del d.P.R. n. 318.

Il citato decreto legislativo del 9 aprile 1998, approvato durante la fase di stampa della presente relazione, ha attuato la predetta direttiva. Nell´esprimere il proprio parere favorevole al riguardo, il Garante ha constatato che le tematiche da ultimo citate, riguardanti le utenze riservate e le carte telefoniche, è stato implicitamente differito ad un successivo provvedimento legislativo per cui rimangono al momento ferme le considerazioni formulate dal Garante nel menzionato provvedimento di gennaio.

 

49. Rete unitaria della pubblica amministrazione


I l Garante segue con particolare attenzione gli sviluppi che si registrano sul piano dell´attuazione della rete unitaria della pubblica amministrazione, che permetterà a vari soggetti pubblici di dialogare con facilità, nel rispetto di alcune regole di riservatezza e di sicurezza che trovano già negli artt. 15, 22 e 27 della legge n. 675 un preciso punto di riferimento.

Il d.P.R. 10 novembre 1997, n. 513 ("Regolamento recante criteri e modalità per la formazione, l´archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell´art. 15, comma 2, della legge 15 marzo 1997, n. 59") pone le leggi nn. 675 e 676 del 1996 come un parametro puntuale per la realizzazione e la revisione dei sistemi informativi pubblici, confermando la tesi della compatibilità tra un´infrastruttura tecnica che agevoli i flussi di dati con una contemporanea ed attenta modulazione degli scambi delle informazioni, rispettosa dei princìpi di pertinenza dei dati, di compatibilità delle finalità perseguite e di svolgimento degli scopi istituzionali delle amministrazioni interessate.

 

410. Consiglio Superiore della Magistratura


I l Garante ha risposto a vari quesiti posti dal Consiglio Superiore della magistratura, relativi all´applicazione della legge n. 675/1996 ai trattamenti dei dati effettuati dallo stesso organo.

Il 2 dicembre 1997, anche a seguito di alcuni incontri tenuti con i rappresentanti del Consiglio, il Garante ha ricordato che una distinzione puntuale dei trattamenti effettuati dal C.S.M. sarà operata dal legislatore delegato (ai sensi dell´art. 1, comma 1, lett. i), n. 3 della legge 676/ 1996) e che l´art. 4 della legge n. 675/1996 prevede che solo parte dei trattamenti in atto presso il Consiglio siano assoggettati per intero, al momento, alle disposizioni di legge.

Nella pronuncia si ricorda infatti, che ai trattamenti effettuati dal C.S.M per "ragioni di giustizia", si applicano, al momento, solo alcune delle disposizioni della legge 675/1996 che riguardano, più precisamente, la notificazione, le misure di sicurezza, il divieto delle c.d. decisioni automatizzate sui profili individuali o sulla personalità , la responsabilità per danno e i compiti del Garante (art. 4, comma 2).

Il Garante ha osservato che l´espressione "ragioni di giustizia" rappresenta, fino all´entrata in vigore dei decreti delegati, il criterio-guida per verificare quali siano i trattamenti sottoposti per intero all´applicazione della legge.

Il Garante ha ritenuto problematico ricomprendere tra le "ragioni di giustizia" l´intera sfera delle attribuzioni del C.S.M., e ha suggerito al Consiglio di procedere ad una ricognizione delle categorie dei trattamenti effettuati che potrà essere utile anche per il legislatore delegato.

Ciò anche in quanto i trattamenti non ricompresi nella categoria "ragioni di giustizia", devono osservare già oggi le prescrizioni applicabili alle comuni attività poste in essere dalle pubbliche amministrazioni.

Il Garante ha condiviso l´orientamento del C.S.M. inteso a considerare i propri regolamenti (regolamento interno e regolamento sulla gestione delle spese) rispondenti alle caratteristiche delle fonti che in vari articoli della legge vengono citate quale presupposto per il trattamento dei dati o per l´applicazione di alcune eccezioni. In particolare, si è osservato che il regolamento del C.S.M., a differenza di quello previsto da altri organi, viene considerato dalla dottrina quale fonte secondaria in grado di produrre effetti all´esterno.

Si è poi precisato che il C.S.M. può continuare a trattare i dati sensibili fino alla data del 7 maggio 1998, entro la quale una puntuale disposizione di legge - anche delegata - dovrà individuare le rilevanti finalità di interesse pubblico perseguite dal C.S.M., i dati trattati e le operazioni eseguibili; l´Autorità ha ritenuto inoltre adempiuto da una nota del settembre scorso l´obbligo di comunicazione richiesto dalla disciplina transitoria prevista dall´art. 41, comma 5, della legge 675/1996.

L´obbligo di notifica spetta al C.S.M. unicamente per quei trattamenti che non sono "esonerati" in quanto, ad esempio, non sono necessari per assolvere ai compiti previsti dalla legge o da un regolamento.

Oltre ad alcune osservazioni relative alla notificazione, il Garante ha ricordato che in tema di accesso occorre diversificare l´ipotesi in cui ricorrono "ragioni di giustizia", da quella in cui l´interessato chiede di accedere ai propri dati trattati per altre finalità. Nel primo caso, infatti, l´interessato non può esercitare direttamente il diritto, ma può investire il Garante per verificare se il trattamento risponde ai requisiti stabiliti dalla legge o dai regolamenti (artt. 31, comma 1, lett. p), 32, commi 6 e 7, l. 675/1996). Nel secondo, invece, l´interessato può chiedere direttamente di esercitare l´accesso nei confronti del C.S.M., e in tal caso vi ha diritto a prescindere dalle eventuali eccezioni previste da norme regolamentari vigenti.

Simile differenziazione va operata anche per la comunicazione a terzi: nell´ipotesi in cui ricorrano le "ragioni di giustizia" non si ravvisano particolari limitazioni nella disciplina vigente, mentre nel caso di trattamenti "ordinari" occorre una fonte normativa idonea (quale il regolamento interno del C.S.M.) per legittimare la comunicazione dei dati ad altre pubbliche amministrazioni o a terzi.

Per quanto concerne infine l´adozione delle misure di sicurezza, si è fatto presente che il C.S.M. è chiamato a rispettare gli obblighi previsti in via ordinaria per ogni altro trattamento. Compito dell´organo sarà quello di distinguere il profilo civilistico da quello penale. Sul piano della responsabilità civile, infatti, fino all´adozione del regolamento che individuerà le misure minime di sicurezza, il C.S.M. dovrà adottare, al pari di altri soggetti, gli accorgimenti necessari per evitare che i trattamenti in atto alla data dell´8 maggio 1998 non siano sottoposti a rischi di maggiore entità ; sul piano penale, invece, le eventuali responsabilità deriveranno solo dalla violazione delle specifiche disposizioni regolamentari che saranno emanate con il d.P.R. previsto dall´art. 15 della legge.

Il Garante ha infine segnalato l´opportunità che il Consiglio richiami l´attenzione degli uffici giudiziari sulle problematiche derivanti dall´applicazione della legge, sottolineando agli stessi l´importanza della comunicazione al Garante, ai sensi dell´art. 40 della 675/1996, dei provvedimenti giudiziari emessi in relazione alla legge stessa e alla legge n. 547/1993, in modo da poter tenere aggiornata l´istituenda banca dati di informazione giuridica che sarà accessibile al pubblico e agli uffici giudiziari; come confermato da una nota del C.S.M. del 27 gennaio 1998, tale invito è stato prontamente formalizzato nella seduta del C.S.M del 26 gennaio.

Infine, con proprio decreto pubblicato nella Gazzetta Ufficiale del 3 marzo u.s., il C.S.M. ha modificato alcuni articoli del proprio regolamento, con particolare riferimento al tema della pubblicità delle sedute del Consiglio ed alla tutela della riservatezza della vita privata del magistrato o di terzi.

 

411. Legislazione sociale


A nche questo vasto settore pone problematiche significative dal punto di vista della legislazione sulla privacy, integrandosi con la tutela della salute.

Il Garante ha adottato alcune decisioni, una parte delle quali è menzionata anche in altri punti della presente relazione.

Una prima questione, affrontata fin dallo scorso mese di giugno, ha riguardato le modalità della trasmissione - dal datore di lavoro all´INPS - dei dati personali relativi ai lavoratori posti in cassa integrazione, allo scopo di assicurare agli stessi la corresponsione del trattamento di integrazione salariale (vedi paragrafo 46).

Tale situazione, prospettata da alcune società interessate, configura un´ ipotesi di comunicazione di dati e pertanto presuppone l´acquisizione del consenso dei lavoratori interessati, che per i dati relativi allo stato di salute va manifestato necessariamente per iscritto.

Il Garante, attesa la rilevanza della questione e considerata l´opportunità di semplificare una procedura che si svolge nel diretto interesse dei lavoratori, ha interessato il 18 giugno 1997 il Ministro del lavoro e della previdenza sociale, evidenziando l´opportunità che tale flusso di dati venga previsto da un´apposita disposizione normativa, rendendo cosìsuperflua l´acquisizione del consenso dei lavoratori, in conformità a quanto previsto dall´art. 20, comma 1, lett. c), della legge n. 675.

Il 17 settembre 1997, il Garante si è espresso su una richiesta di parere pervenuta dall´Associazione nazionale mutilati e invalidi civili (ANMIC). Alla luce della normativa che attiene specificamente alla materia, si è ritenuto che la disposizione che impone ai segretari delle commissioni sanitarie provinciali (incaricate di procedere all´accertamento della sussistenza di minorazioni invalidanti) di trasmettere all´ANMIC gli elenchi dei soggetti sottoposti a visita, risponda ai requisiti di specificità previsti dall´art. 22, comma 3, della legge n. 675.

Tali dati consistono nei nominativi dei soggetti visitati, corredati, secondo quanto indicato dal Ministero dell´interno - Direzione generale dei servizi civili - nel parere reso in data 10 settembre 1997, dai rispettivi indirizzi.

Naturalmente, per gli ulteriori trattamenti svolti dalla citata associazione nell´ambito delle rispettive finalità statutarie, si è ritenuta necessaria l´informativa e l´acquisizione del consenso scritto degli interessati, ai sensi dell´art. 22, comma 1, della legge n. 675.

Il Garante ha seguito con attenzione le iniziative governative e le proposte parlamentari che allo scopo di contenere la spesa pubblica in materia di previdenza e assistenza, hanno ipotizzato l´attribuzione ai cittadini interessati di una carta sanitaria personale o di un documento contrassegnato da un numero di identificazione.

In questo quadro, si collocano le già illustrate disposizioni contenute nella legge collegata alla finanziaria per il 1998 che delegano il Governo ad emanare un decreto legislativo recante la fissazione dei criteri per valutare la situazione economica dei soggetti che richiedono prestazioni sociali agevolate nei confronti delle pubbliche amministrazioni (cd. "riccometro").

Alla luce di quanto disposto in merito dalla direttiva comunitaria 95/46/CE e dalla legge n. 675/1996, il Garante ha anzitutto ricordato, con nota in data 16 settembre 1997 indirizzata al Presidente del Consiglio dei ministri, che tali strumenti riguardano strettamente la sfera privata delle persone, e richiedono la previsione di idonee garanzie a tutela dei dati personali oggetto di trattamento.

In particolare, occorre valutare la pertinenza dei dati che si intendono acquisire rispetto agli obiettivi da perseguire e alle finalità per le quali i dati stessi possono essere utilizzati.

La materia è in continua evoluzione. Il Garante, investito della richiesta di parere sul "riccometro", si è pronunciato nei termini indicati nel precedente paragrafo 2.2.2.

 

412. Pubbliche amministrazioni


I n conformità con i princìpi fissati dal legislatore comunitario, la legge n. 675/1996 disciplina anche i trattamenti di dati personali effettuati dalle amministrazioni pubbliche.

La tutela dei diritti alla riservatezza e all´identità personale non trova, infatti, un limite nella circostanza che il titolare del trattamento è un soggetto pubblico anziché privato.

La legge n. 675/1996, pur disciplinando in modo differenziato il settore pubblico da quello privato, garantisce un grado equivalente di tutela ad entrambe le tipologie di trattamento.

Le amministrazioni pubbliche possono infatti utilizzare i dati personali, automatizzati e cartacei, soltanto per lo svolgimento delle funzioni istituzionali e nei limiti stabiliti dalle specifiche leggi e dai regolamenti vigenti nei settori di riferimento (art. 27, comma 1).

Una disciplina più rigorosa è prevista per il trattamento dei dati sensibili concernenti l´origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l´adesione a partiti politici, sindacati, associazioni, lo stato di salute e le abitudini sessuali (art. 22, comma 1).

Infatti, i soggetti pubblici possono effettuare tali trattamenti solo se sono autorizzati da un´espressa disposizione di legge (art. 22, comma 3).

Da ciò discende, per ciascuna Amministrazione, la duplice necessità di verificare in modo puntuale la corrispondenza tra le attribuzioni istituzionali e i dati utilizzati e di analizzare in maniera ancora più attenta le fonti normative che sorreggono la propria attività.

Il Garante è intervenuto in materia in varie occasioni.

Tra le numerose pronunce relative ai trattamenti effettuati dalle pubbliche amministrazioni, meritano di essere segnalate le seguenti.

  •  Rapporti con la normativa riguardante lo stato civile, gli atti anagrafici e le liste elettorali.

Nel luglio del 1997, su sollecitazione di alcuni Comuni, il Garante ha chiarito che il rilascio a terzi dei certificati concernenti la residenza o lo stato di famiglia è conforme alla legge sulla protezione dei dati personali. Tale ipotesi è  infatti, disciplinata da specifica normativa non abrogata o modificata dalla legge n. 675/1996.

Al tempo stesso, tenendo conto delle norme previgenti alla legge n. 675/1996 e non abrogate da quest´ultima, il Garante ha ritenuto illegittima, in base alla legge vigente, la prassi di fornire dati ed elenchi a terzi, in particolare alle redazioni dei giornali, al di fuori delle modalità previste dalla normativa dei registri dello stato civile, degli atti anagrafici e da altre specifiche norme di legge.

È stata, infine, dichiarata legittima la comunicazione e la diffusione dei dati riportati nelle liste elettorali in quanto espressamente prevista dall´attuale normativa di settore: chiunque può, infatti, copiare, stampare o mettere in vendita le liste elettorali (art. 51 d.P.R. 223/1967).

  •  Applicazioni della L. 675/1996 al settore universitario.

Su richiesta di alcune Università, nel mese di luglio 1997 il Garante ha fornito chiarimenti riguardanti l´applicazione della legge n. 675/1996 al settore universitario.

L´Autorità ha ritenuto che le Università possano comunicare e diffondere ad imprenditori, associazioni di categoria e altri soggetti privati i dati personali relativi a studenti e laureati solo sulla base della normativa generale che regola il settore universitario o sulla base degli ordinamenti dei singoli atenei.

La comunicazione e la diffusione dei dati personali da parte di soggetti pubblici a privati è consentita solo se prevista da norme di legge o di regolamento (art. 27, comma 3). Il Garante ha, pertanto, segnalato la necessità, in caso di assenza di previsioni normative, di regolamentare la prassi della trasmissione di dati ed elenchi di studenti e laureati.

Ha, altresì, giudicato legittima la pubblicazione dei dati dei dipendenti nell´annuario dell´Università , in quanto già disciplinata da specifica disposizione normativa (regio decreto n. 674 del 1924).

  • Costituzione di una banca dati relativa all´immigrazione extra comunitaria.


Su richiesta della Prefettura di Prato, nel dicembre 1997 l´Autorità ha espresso un parere sulla legittimità di un progetto istitutivo di una banca dati relativa agli immigrati extracomunitari.

Al riguardo il Garante ha richiamato l´attenzione sulla "sensibilità" di alcuni dati oggetto di un trattamento iniziato prima dell´8 maggio 1997, (nazionalità e luogo di nascita), essendo gli stessi, nel caso concreto, idonei a rivelare l´origine razziale ed etnica degli interessati (art. 22, legge n. 675/1996). Ha segnalato pertanto la necessità di intervenire sulle fonti normative di tipo primario che regolano l´attività del Ministero dell´interno a livello centrale e periferico.

L´Autorità ha suggerito, infine, di raccogliere i dati relativi agli immigrati in forma anonima, in attesa dell´emanazione di un´apposita disciplina legislativa.

  • Utilizzabilità dei dati relativi agli utenti Enel ai fini del controllo e della manutenzione degli impianti termici.

Nel mese di febbraio 1998, il Garante ha adottato un parere sull´utilizzabilità dei dati relativi agli utenti Enel ai fini del controllo e della manutenzione degli impianti termici da parte di un´azienda privata convenzionata con la Provincia di Udine.

Il Garante ha preso in considerazione le norme di legge e di regolamento che autorizzano la provincia a svolgere determinati controlli in materia di impianti termici, e ha constatato l´inesistenza di un esplicito l´obbligo dell´Enel di fornire alla provincia i dati dei propri utenti.

Tale incompletezza normativa è stata segnalata al Ministero dell´industria, del commercio e artigianato e all´Autorità di regolamentazione per l´energia elettrica e il gas, allo scopo di sollecitare un´apposita integrazione della normativa (legge n. 10/1991 e d.P.R. n. 412/1993).

  • Utilizzabilità di informazioni di carattere giudiziario relative ad appartenenti ad una comunità zingara.

Su richiesta della prefettura di Rimini, il Garante si è pronunciato sulla richiesta presentata da uno studente universitario volta ad acquisire dalla prefettura e dalle forze di polizia alcuni dati sulle denunce e sui procedimenti penali pendenti nei confronti degli appartenenti ad una comunità nomade.

Il Garante ha ritenuto che i dati richiesti rivestano solo apparentemente un carattere anonimo, in quanto suscettibili, se connessi ad altre informazioni, di rendere identificabili gli interessati. Tali dati sono stati ritenuti di carattere "personale", nonostante siano privi delle generalità degli interessati.

Il Garante ha infine richiamato l´attenzione sull´illegittimità della comunicazione a privati se non prevista da una norma di legge o di regolamento (art. 27, comma 3).

  • Pubblicazione dell´annuario dell´Accademia dei Lincei.

Nel gennaio 1998, a seguito di una richiesta di parere dell´Accademia nazionale dei Lincei, il Garante si è pronunciato sulla legittimità della pubblicazione di un annuario contenente i dati anagrafici, le qualifiche dei soci, nonché indirizzi e recapiti privati.

L´Autorità, esaminato lo statuto e il regolamento dell´Accademia e constatata la natura giuridica pubblica dell´istituzione, ha ritenuto legittima la pubblicazione dell´annuario in quanto connessa alle finalità istituzionali dell´ente.

Ha, però, rilevato la mancanza nello statuto di una specifica disposizione relativa alla pubblicazione nell´annuario dei dati personali relativi ai soci, ed ha pertanto segnalato la necessità di promuovere una modificazione dello Statuto al fine di inserirvi tale previsione.

  • "Titolari del trattamento" nei concessionari di pubblici servizi.

Particolarmente significativo è stato il caso relativo al quesito inoltrato dalle Ferrovie dello Stato S.p.A., che, in qualità di concessionaria pubblica, ha chiesto di conoscere se la legge predetta consenta di individuare il "titolare del trattamento" non tanto dell´azienda in quanto tale, quanto tra le persone fisiche che ricoprono incarichi di vertice o che coordinano i diversi settori dell´azienda stessa (amministratore delegato, direttori generali e responsabili di aree).

Nella decisione del 9 dicembre 1997, il Garante ha ricordato che, ai sensi della legge n. 675/1996, il "titolare del trattamento" è la persona fisica o giuridica, pubblica amministrazione e qualsiasi altro ente cui competano le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati, anche per ciò che riguarda la sicurezza. Il titolare, quindi, anche quando si tratti di una pubblica amministrazione, è l´entità nel suo complesso anziché talune delle persone fisiche che operano nella relativa struttura. Tali soggetti, potrebbero assumere, semmai, la qualifica di responsabile (v. art. 8 legge n. 675/1996). Nel caso di specie il titolare è stato quindi individuato nelle Ferrovie S.p.A., che possono designare alcuni soggetti quali "responsabili" del trattamento, delineandone analiticamente e per iscritto i compiti attribuiti e individuandone al loro interno, se del caso, ulteriori livelli di responsabilità in base all´organizzazione delle divisioni e degli uffici o alle tipologie di trattamenti, di archivi e di dati. Analoga decisione del Garante è stata adottata in riferimento all´Amministrazione delle finanze.

 

413. Investigazione privata


L ´investigazione privata è al centro di varie riflessioni che riguardano la configurazione professionale della categoria, il relativo stato giuridico e le regole previste dalla legislazione di pubblica sicurezza.

Senza entrare nel merito della scelta di fondo che tutto ciò implica, il legislatore del 1996 si è dimostrato consapevole dell´utilità sociale che una corretta esplicazione di questa attività può avere nella società contemporanea, non solo nei tradizionali confini del diritto di famiglia e della raccolta di elementi utili a fini di prova in un giudizio, ma anche nel sempre più importante ambito della trasparenza e correttezza delle iniziative economiche, della concorrenza e della tutela dei segreti aziendali e industriali.

La legge n. 675/1996, prima in Europa, prevede un´attenta considerazione dell´attività di raccolta di informazioni personali finalizzata alla tutela giudiziaria di un diritto, ancorchè esercitata al di fuori degli adempimenti derivanti da un mandato difensivo conferito nell´ambito di un procedimento penale.

Durante l´iter parlamentare della legge si era creata l´aspettativa di una totale esclusione dall´ambito di applicazione della normativa dell´intera attività investigativa o, quantomeno, l´introduzione di una serie più ampia di deroghe a vari istituti disciplinati dalla legge.

Si è però, giustamente, osservato che una simile esclusione non è prevista in nessun Paese europeo e non è consentita dalla direttiva, la quale non permette eccezioni in favore della categoria delle investigazioni private in quanto tale, benchè la legislazione di pubblica sicurezza rechi già alcune disposizioni che regolano tale attività. La direttiva autorizza semmai, deroghe "mirate" e giustificate non tanto dalla qualifica soggettiva del beneficiario, quanto dal legame di interdipendenza che collega la raccolta di alcuni dati all´esercizio di un diritto in sede giudiziaria.

Del resto, avrebbe rappresentato una netta contraddizione l´introdurre precisi limiti in materia di raccolta dei dati operanti per qualunque operatore pubblico o privato, e permettere al tempo stesso a chiunque di eluderli rivolgendosi ad un investigatore privato che avrebbe operato de facto, in una "zona franca". Ogni investigatore avrebbe goduto di prospettive non riconosciute neanche alle forze dell´ordine, e si sarebbe legittimata una prassi sicuramente pericolosa che avrebbe potuto permettere a qualunque soggetto in possesso dell´autorizzazione prevista dal t.u.l.p.s., di raccogliere dati di propria iniziativa e senza un´adeguata tutela degli interessati.

Tutto ciò non ha impedito di bilanciare il diritto alla riservatezza con i diritti di chi deve poter raccogliere i dati per potersi difendere o tutelare dinanzi all´autorità giudiziaria.

La legge n. 675/1996 reca varie disposizioni che tengono conto della c.d. indagine difensiva e della tutela dei diritti in sede giudiziale.

Il comma 4 dell´articolo 10 riporta la prima delle diverse eccezioni riferite allo svolgimento delle indagini difensive e alla difesa di un diritto in sede giudiziaria.

La soluzione adottata permette di non informare l´interessato dell´avvenuta raccolta dei dati reperiti presso terzi, ad una duplice condizione:

  • qualora i dati siano utilizzati per "far valere" o "difendere" un diritto in sede giudiziaria o ai fini dello svolgimento di un´indagine difensiva nel procedimento penale;
  • qualora il trattamento si protragga per il tempo necessario al perseguimento di tali fini.

In riferimento al procedimento penale l´eccezione risulta congrua dal punto di vista soggettivo, ed è utilizzabile dal difensore dell´imputato o di un´altra parte privata, come pure da investigatori privati autorizzati ed incaricati dal difensore medesimo.

Peraltro, l´istituto può trovare larga applicazione anche in sede civile (ad es.: controversie per concorrenza sleale, violazione del segreto industriale, cause di separazione e divorzio ecc.) e nella materia del lavoro, come pure dinanzi agli uffici giudiziari di ogni ordine e grado. Inoltre, l´espressione "far valere un diritto in giudizio" è risultata opportunamente comprensiva delle diverse azioni costitutive, dichiarative, ecc. esercitate dinanzi ad un giudice.

L´eccezione all´obbligo dell´informativa è , peraltro, temporanea, in quanto, come precisata dal Garante nell´autorizzazione generale n. 6/97, l´informativa diviene necessaria se i dati sono trattati per un periodo superiore a quello necessario per perseguire i predetti fini, o per ulteriori finalità.

Tale deroga trova il suo presupposto nel fatto che l´interessato, una volta che eserciti il diritto in sede giudiziaria, viene a conoscenza dei trattamenti che lo riguardano attraverso le carte processuali, ed è in quella sede informato dei dati e notizie a lui riferibili.

Per i dati sensibili sono previste garanzie analoghe, in quanto l´ordinario regime basato sull´autorizzazione e il consenso è temperato da una regola secondo cui è sufficiente l´autorizzazione del Garante (già rilasciata con il provvedimento n. 6/97) quando per l´esercizio del diritto di difesa occorre raccogliere dati relativi allo stato di salute e alla vita sessuale (ad es. per accertamenti finalizzati all´instaurazione di una causa di separazione o di divorzio). Questa eccezione non si estende, quindi, ai dati della persona idonei a rivelare l´origine razziale ed etnica, la sfera religiosa, politico-sindacale o filosofica.

Sempre nel caso dei dati sulla salute e la vita sessuale, il soggetto che raccoglie i dati deve perseguire le sole finalità che giustificano la deroga e utilizzarla per il solo periodo strettamente necessario per lo svolgimento dell´indagine difensiva, ovvero per l´esercizio del diritto in sede giudiziaria.

Il soggetto che si avvale della deroga deve rispettare anche le misure e gli accorgimenti prescritti dal Garante nel provvedimento di autorizzazione.

Inoltre, l´incarico conferito ad un investigatore privato non può avere ad effetto l´elusione dei limiti posti dallo "Statuto dei lavoratori" (legge n. 300/1970) alla raccolta di determinati dati da parte del datore di lavoro.

Come già esposto nella presente relazione, il Garante si è avvalso della facoltà concessagli dalla legge di emanare autorizzazioni generali al trattamento dei dati sensibili per categorie ben individuate.

Con il provvedimento datato 29 dicembre 1997 è stata emanata l´autorizzazione n. 6/97 "al trattamento di alcuni dati sensibili da parte degli investigatori privati". L´autorizzazione è diretta: alle persone fisiche e giuridiche, agli istituti, agli enti, alle associazioni e agli organismi che esercitano un´attività di investigazione privata autorizzata con licenza prefettizia (articolo 134 del regio decreto 1931 n. 773, e successive integrazioni e modificazioni).

Oltre a quanto già illustrato, va ricordato che tale autorizzazione precisa che il trattamento deve rispettare le ulteriori prescrizioni contenute nell´autorizzazione generale n. 2/97, in particolare per ciò che riguarda le informazioni relative ai nascituri e ai dati genetici.

 

414. Liberi professionisti


L a disciplina sulla protezione dei dati personali prevede (art. 7, comma 5-ter, lettera f), legge n. 675/1996) l´esonero dall´obbligo di notifica al Garante del trattamento di dati effettuato dai liberi professionisti iscritti in albi o elenchi professionali, purché finalizzato all´adempimento di specifiche prestazioni e fermo restando il segreto professionale.

L´esonero è chiaramente teso a non gravare tali soggetti di ulteriori adempimenti, ma non incide sugli altri obblighi previsti dalla legge n. 675/1996 a carico dei titolari del trattamento: in particolare gli stessi sono tenuti, ai sensi del medesimo art. 7, comma 5-quinquies, a comunicare a chiunque ne faccia richiesta le notizie che dovrebbero essere inserite nella notifica al Garante.

Questo obbligo scaturisce dal principio indicato nell´art. 21, par. 3, della direttiva 95/46/CE che impone agli Stati membri di garantire in ogni caso la pubblicità dei trattamenti oggetto di esonero.

Il Garante ha emanato, ai sensi dell´art. 41, comma 7, della legge 675/1996, l´autorizzazione generale n. 4 del 29 novembre 1997 diretta, appunto, ai liberi professionisti iscritti in albi o elenchi professionali, che trattano dati sensibili per lo svolgimento di determinate attività professionali.

Questa autorizzazione non riguarda le figure professionali e le attività già considerate in altre autorizzazioni o che non necessitano di un atto autorizzatorio, quali la gestione dei rapporti di lavoro o di collaborazione prestata dal libero professionista (autorizzazione n. 1/97), i medici e il personale sanitario (autorizzazione n. 2/97) nonché i giornalisti, pubblicisti o praticanti giornalisti.

L´autorizzazione ricomprende, invece, i soggetti che collaborano professionalmente con il libero professionista, quali i sostituti, gli ausiliari, i praticanti e i tirocinanti.

Il trattamento dei dati sensibili è autorizzato purché rientri nei limiti strettamente indispensabili per l´esecuzione delle prestazioni professionali richieste dal cliente e ai soli fini dell´espletamento dell´incarico ricevuto.

La stessa autorizzazione n. 4/97, contiene precise indicazioni relative alle modalità di raccolta e di trattamento dei dati, all´idoneità delle misure di sicurezza e all´adempimento degli obblighi di informativa all´interessato e di raccolta del suo consenso.

Per quanto attiene ai quesiti, pervenuti principalmente dagli ordini professionali, il Garante ha chiarito alcuni aspetti applicativi della legge n. 675/1996, ponendo in evidenza che la legge non ha modificato la disciplina relativa al regime di pubblicità degli albi, e che occorre pertanto rispettare le norme di legge e di regolamento che regolano la conoscibilità e la pubblicità di tali atti. Tali norme sono spesso ispirate, per loro stessa natura e funzione, ad un regime di piena pubblicità, anche in funzione della tutela dei diritti di coloro che, a vario titolo, hanno rapporti con gli iscritti agli albi. Pertanto, gli ordini professionali possono trattare dati personali, per la tenuta degli albi nonché per l´espletamento di altri compiti, ai soli fini dello svolgimento delle proprie funzioni istituzionali.

 

415. Associazioni e partiti politici


L ´utilizzazione dei dati personali da parte delle organizzazioni di tipo associativo non aventi fini di lucro, quali i partiti e i movimenti politici, i sindacati, le organizzazioni di volontariato, le confessioni religiose ed altri, è stata oggetto di particolare attenzione.

Sia l´intervento normativo (d.lg. 28 luglio 1997, n. 255) sia quello attuato dal Garante (autorizzazione generale n. 3/97) hanno mirato a semplificare le procedure previste a tutela del diritto alla riservatezza, anche in ragione dell´importante funzione sociale svolta nei vari settori.

Il legislatore delegato ha esonerato dall´obbligo di notificazione i trattamenti effettuati da tali organismi, relativamente ai dati inerenti agli associati e ai soggetti che hanno contatti regolari con l´associazione (art. 7, comma 5 ter, lettere l) ed m)).

Analogamente, il Garante ha esonerato tali organizzazioni dall´obbligo di richiedere singolarmente l´autorizzazione per il trattamento dei dati sensibili, autorizzando con il ricordato provvedimento generale l´uso dei dati sensibili relativi agli iscritti e ai sostenitori, ferme restando alcune necessarie garanzie a tutela degli interessati.

Nel mese di ottobre del 1997 il Garante ha, altresì, fornito chiarimenti riguardanti l´applicazione della legge sulla privacy in merito alle procedure di rinnovo delle adesioni degli associati.

Come già riferito, il Garante ha chiarito, anche attraverso un comunicato stampa, che la procedura di rinnovo delle adesioni degli associati non è soggetta all´ambito di applicazione della legge 675/1996, in quanto relativa a dati personali raccolti prima della data di entrata in vigore della citata legge, mentre l´informativa e il consenso sono obbligatori nel caso di nuove adesioni.

Peraltro, in tale occasione, sono state suggerite alcune formule di acquisizione del consenso collegate alle finalità statutarie sia per le organizzazioni associative in generale, sia per quelle sindacali e politiche.

In più occasioni il Garante ha fornito risposte a quesiti formulati in particolare dal Partito democratico della sinistra sull´applicazione della legge sulla protezione dei dati personali ai partiti politici, su aspetti che interessano anche altri partiti.

Il Garante ha ribadito che i partiti e i movimenti politici non sono obbligati ad effettuare la notificazione né per il trattamento dei dati relativi ai propri associati, né per quello relativo ai propri dipendenti.

Le associazioni politiche sono state autorizzate con un provvedimento generale a trattare i dati sensibili sia dei propri associati sia dei dipendenti, salva la necessità di acquisire il consenso scritto.

Si è precisato che il consenso può, eventualmente, essere esteso alla possibilità di pubblicare, anche via Internet, gli elenchi dei sostenitori e dei dipendenti dell´associazione.

Su sollecitazione del Gruppo parlamentare Lega nord per l´indipendenza della Padania, il Garante si è occupato inoltre della diffusione di dati sensibili a scopo di propaganda politica.

Nel caso di specie, poiché gli opuscoli informativi sono stati curati da alcuni giornalisti, è stata ritenuta applicabile la disciplina derogatoria relativa al giornalismo che prescinde dall´acquisizione del consenso.

 

416. Ricerche di mercato


L a Raccomandazione del Consiglio d´Europa 25 ottobre 1985, N. R (85) 20, relativa alla protezione dei dati personali utilizzati per fini di marketing diretto, qualifica come "marketing diretto" "l´insieme delle attività, nonché ogni servizio ausiliario ad esse, che permettano di offrire prodotti e servizi o di trasmettere ogni altro messaggio pubblicitario a segmenti di popolazione mediante la posta, il telefono o altri mezzi diretti, a scopo di informazione o al fine di sollecitare una reazione da parte della persona interessata"(1.2).

Tutte le fasi in cui si articolano tali attività, dalla selezione del prodotto allo studio del potenziale mercato, fino all´individuazione dei soggetti ai quali dirigere il messaggio e dai quali attendere risposte, comportano un trattamento di dati personali; pertanto, dovranno essere effettuate nel rispetto delle norme della legge n. 675.

Nelle more dell´attuazione della citata Raccomandazione, il trattamento per scopi di marketing risulta disciplinato da regole comuni ad altri trattamenti.

Devono essere osservate, pertanto, le disposizioni degli articoli 10, 11 e 20 della legge n. 675/1996, relative all´obbligo di informativa degli interessati e all´acquisizione del consenso, ove necessario. La legge prevede, infatti, alcune ipotesi in cui il trattamento può essere legittimamente effettuato anche indipendentemente dal consenso degli interessati (ad esempio, nel caso di dati acquisiti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque art. 12, lett. c), della legge n. 675/1996).

Anche in queste ipotesi resta fermo, tuttavia, l´obbligo di informare preventivamente, gli interessati, oralmente o per iscritto, circa le finalità e le modalità del trattamento, nonché in ordine alla possibilità di esercitare i diritti di opposizione di cui all´articolo 13 della legge n. 675/1996.

Proprio con riferimento ai diritti di opposizione, il legislatore italiano, in linea con quanto disposto dalla direttiva 95/46/CE, ha dettato, per il settore del marketing, una norma specifica.

Nella legge n. 675/1996, infatti, l´art. 13, lettera e), sancisce il diritto dell´interessato di opporsi al trattamento di dati che lo riguardano, (nel suo complesso ovvero con riferimento alla sola divulgazione) previsto "a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva".

A differenza dell´opposizione prevista dall´articolo 13, lettera d), la fattispecie in esame rappresenta una "figura speciale di opposizione", in quanto l´interessato che non intende essere inserito in un indirizzario pubblicitario non deve addurre alcun motivo a supporto dell´opposizione, né una specifica violazione di legge, né l´esistenza di un motivo legittimo.

L´attività di marketing è stata oggetto di un provvedimento del Garante il quale, anche in questa materia, ha emanato un´autorizzazione generale per il trattamento dei dati sensibili.

L´autorizzazione n. 5/97, consente nel Capo II il trattamento dei dati sensibili di cui all´articolo 22 della legge n. 675/1996, fatta eccezione di quelli idonei a rivelare la vita sessuale, da parte di imprese, società istituti ed altri organismi o soggetti privati che effettuano ricerche di mercato o altre ricerche campionarie, per scopi determinati e legittimi, noti all´interessato che abbia manifestato il suo consenso per iscritto.

Nel provvedimento, il Garante ha stabilito che i dati sensibili possono essere trattati per compiere sondaggi di opinione o ricerche di mercato, solo se il trattamento di dati anonimi non consente di raggiungere gli scopi perseguiti. In ogni caso, il trattamento successivo alla raccolta non deve permettere di identificare gli interessati, neanche indirettamente, mediante un riferimento ad una qualsiasi altra informazione. A tal fine, sono previste alcune regole sulla registrazione dei dati.

Ulteriori aspetti relativi al marketing saranno regolamentati più analiticamente nel decreto legislativo che il Governo è stato delegato ad emanare, ai sensi dell´art. 1, comma 1, lett. b), n. 2, della legge n. 676/ 1996, per garantire la piena attuazione dei princìpi sanciti in materia dal Consiglio d´Europa.

 

417. Video-sorveglianza


A nche in Italia, il tema della video-sorveglianza e della tecno-sicurezza, e dei problemi che esse pongono sul piano della riservatezza dei singoli, inizia ad essere avvertito con chiara consapevolezza dai cittadini e dai mezzi d´informazione.

L´utilizzo di telecamere allo scopo di favorire la sicurezza sociale in strade, piazze, luoghi pubblici o l´accesso selettivo a zone di traffico limitato, comincia a diffondersi, soprattutto nelle grandi città. Il dibattito sulla legittimità di tali forme di controllo e sui rischi che possono derivarne alla riservatezza e alla libertà dei singoli si è avviato in Italia già da qualche tempo.

Analoghe riflessioni vengono a maturazione per la video-sorveglianza interna a edifici e luoghi aperti al pubblico (quali esercizi pubblici, supermercati e banche).

In Italia, a differenza di altri Paesi europei come ad esempio la Francia, non esiste ancora un´apposita normativa sulla video-sorveglianza.

La direttiva 95/46/CE e la Convenzione n. 108/1991 del Consiglio d´Europa rendono obbligatoria l´applicazione della disciplina sul trattamento dei dati personali anche ai suoni e alle immagini, qualora queste consentano di identificare un soggetto anche attraverso il collegamento con altre informazioni, come ad esempio foto segnaletiche, identikit o archivi di polizia contenenti immagini. La legge, quindi, si applica anche ai trattamenti di suoni e di immagini effettuati attraverso sistemi di video-sorveglianza, a prescindere dalla circostanza che tali informazioni siano eventualmente registrate in un archivio elettronico o comunicate a terzi, dopo il loro temporaneo monitoraggio in un circuito di controllo.

La complessiva regolamentazione della materia sarà oggetto di uno dei decreti legislativi previsti dalla legge n. 676 del 1996, che dovrà definire regole specifiche per trovare il giusto bilanciamento tra gli interessi perseguiti nel settore della pubblica sicurezza, della prevenzione dei reati, dell´accesso nei centri storici, con il diritto alla riservatezza degli interessati.

Pur non essendo presente nel nostro Paese una normativa specifica per la video-sorveglianza, le prescrizioni contenute nella legge n. 675 peraltro costituiscono un preciso riferimento normativo e sono applicabili anche alle informazioni di tipo visuale.

L´installazione di telecamere presso istituti bancari, esercizi commerciali o strade e piazze, finalizzata a sorvegliare luoghi pubblici o ad aiutare le forze dell´ordine nella lotta alla criminalità, è già stata oggetto di esame da parte del Garante, che ha richiamato l´attenzione sugli aspetti connessi alla violazione della privacy fornendo alcune indicazioni.

Nella risposta al quesito presentato da un ente locale, il Garante ha, anzitutto, posto l´accento sulla necessità che vi sia una legittimazione giuridica che consenta l´installazione delle telecamere, che siano individuate le relative finalità e che l´iniziativa risponda alle funzioni istituzionali demandate all´ente pubblico. In secondo luogo, il Garante ha precisato che l´attenzione deve essere rivolta anche a singole disposizioni della legge n. 675/1996 riguardanti le misure di sicurezza (art. 15), la conservazione, la pertinenza e la non eccedenza dei dati raccolti rispetto agli scopi perseguiti (art. 9, comma 1, lett. d)), le procedure e le modalità volte a fornire agli interessati le informazioni dovute (art. 10), nonché, in caso di comunicazione e diffusione, alle singole disposizioni diverse a seconda della natura dei soggetti che intendono procedere alla comunicazione o alla diffusione.

 

418. Accesso ai centri storici


P er quanto riguarda l´accesso ai centri storici, è stata segnalata l´esigenza generale di non utilizzare impropriamente i dati acquisiti dalle amministrazioni pubbliche per regolare gli accessi, in particolare i dati relativi allo stato di salute dei titolari di permessi di accesso.

In un caso specifico (ove un´Amministrazione comunale ha preteso l´esposizione sui contrassegni necessari per l´accesso delle generalità dell´intestatario dell´autovettura) sono state richieste al Comune ulteriori informazioni, richiamando il principio in base al quale i dati trattati dalle pubbliche amministrazioni devono essere pertinenti e non eccedenti rispetto alle finalità perseguite, principio che costituisce applicazione dei criteri generali di ragionevolezza e proporzionalità.

Ciò nella consapevolezza, che ha ispirato altri pareri forniti dall´Autorità, che le esposizioni dell´immagine e dei dati delle persone, non necessarie né correlate allo svolgimento di funzioni pubbliche, favoriscono interferenze che contribuiscono a limitare la sfera di effettiva autodeterminazione del singolo.

 

419. Trasferimento di dati all´estero


P er essere incisiva, la protezione dei dati personali non può trascurare il fenomeno della circolazione transfrontaliera dei dati.

Questo profilo ha occupato un posto centrale sia nella Convenzione del Consiglio d´Europa, sia nella direttiva comunitaria n. 95/46/CE.

La Convenzione n. 108 del 1981, intesa a "garantire nel territorio degli Stati contraenti, ad ogni persona fisica, indipendentemente dalla sua nazionalità e dalla sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, con particolare riferimento al diritto alla vita privata, in relazione alla elaborazione automatica dei dati a carattere personale che lo riguardano" (art. 1), si occupa del flusso transfrontaliero dei dati, prevedendo, da un lato, la definizione in ciascun Paese di un sistema normativo quanto più possibile uniforme, in modo da ridurre il pericolo di abusi nell´utilizzazione di tali flussi e la conseguente elusione delle rispettive legislazioni nazionali. D´altro lato, si è proibito o sottoposto ad una autorizzazione speciale, salve eccezioni espressamente stabilite, il flusso transfrontaliero dei dati a carattere personale destinato al territorio di un´altra parte contraente.

Con l´approvazione della direttiva comunitaria n. 95/46/CE, il legislatore comunitario ha dettato regole e criteri uniformi per la protezione dei dati nel territorio comunitario, al fine di evitare che la disciplina comune possa essere elusa dal mero spostamento fisico dell´attività disciplinata nella direttiva. Il capo IV della direttiva è interamente dedicato al trasferimento dei dati verso Paesi terzi.

In particolare l´art. 28 fissa un principio importante secondo cui il trasferimento dei dati personali è consentito soltanto se il Paese terzo garantisce un livello di protezione "adeguato". La Commissione Europea svolge un ruolo centrale nella valutazione sull´adeguatezza del livello di tutela esistente negli Stati membri.

L´art. 26 della direttiva individua le condizioni in base alle quali il principio dell´adeguatezza può trovare eccezioni. In tali casi (esistenza del consenso dell´interessato, conclusione o esecuzione di un contratto, salvaguardia di interessi pubblici; utilizzo di informazioni estraibili da
un elenco pubblico o accessibile al pubblico), il trasferimento di dati può essere consentito verso un Paese che non garantisce una tutela adeguata.

Lo Stato deve informare sia la Commissione CE sia gli altri Stati membri sulle autorizzazioni in deroga concesse, e deve uniformarsi alle decisioni che la Commissione può assumere.

Per tale ultimo aspetto, è stata segnalata l´esigenza di perfezionare il modello procedimentale necessario agli Stati membri per conformarsi alle decisioni demandate alla Commissione.

Le disposizioni comunitarie in materia, definite dalla stessa direttiva come inderogabili, sono state recepite nella legge n. 675/1996 all´art. 28, il quale attua il principio dell´adeguatezza ma, al tempo stesso, prevede in termini più garantisti il divieto di trasferimento dei dati "sensibili" e di alcuni dati di carattere giudiziario per il caso in cui il Paese destinatario non assicuri un grado di tutela pari a quello assicurato dalla normativa nazionale.

In tal modo, è stata assicurata una valutazione differenziata in base alla tipologia dei dati da trasferire ed in base al Paese di destinazione.

Il Garante, anche in risposta ad alcuni quesiti formulati da parte di titolari del trattamento, ha fornito indicazioni e suggerimenti allo scopo di semplificare anche in tema di flussi transfrontalieri l´applicazione della legge.

È stato, anzitutto, evidenziato che la legge (art. 26) non prevede alcuna notificazione qualora il trasferimento di dati all´estero riguarda dati che si riferiscono a persone giuridiche pubbliche o private, enti o associazioni, ovvero nel caso in cui (art. 28, comma 1) il trasferimento di dati personali è diretto unicamente verso Paesi appartenenti all´Unione Europea, purché non si tratti di dati "sensibili" o di carattere giudiziario.

La notificazione è invece necessaria nel caso in cui i dati personali siano trasmessi verso un Paese non appartenente all´Unione Europea; in tal caso, il trasferimento può avvenire dopo 15 giorni dalla data di notifica.

Qualora si intendono trasferire all´estero dati sensibili o relativi a provvedimenti giudiziari a carico dell´interessato, è necessario notificare la circostanza al Garante e attendere 20 giorni prima di effettuare la comunicazione dei dati, indipendentemente dal fatto che lo Stato di destinazione sia appartenente o meno all´Unione Europea.

L´Autorità ha peraltro sottolineato, al pari di quanto indicato nella direttiva europea 95/46/CE, che il trasferimento di dati all´estero è comunque consentito laddove ricorra taluno dei presupposti indicato dall´art. 28, comma 4, (ad esempio, qualora l´interessato abbia espresso il proprio consenso al trasferimento, oppure quando tale operazione sia necessaria per eseguire obblighi derivanti da un contratto di cui sia parte l´interessato).

La notificazione del trasferimento dei dati può essere effettuata utilizzando il modello previsto per la notificazione "generale", ed è possibile dichiarare in un unico contesto l´intero complesso delle attività di trasferimento. La notificazione dovrà essere annotata a cura del Garante in un´apposita sezione del registro dei trattamenti.

Il Garante ha più volte precisato che il trasferimento può essere vietato a seguito di una concreta valutazione che tiene conto delle modalità di trasferimento, dei trattamenti previsti oltre frontiera, delle relative finalità, della natura dei dati e delle misure di sicurezza adottate.

È opportuno evidenziare che l´attuale disciplina in materia di trasferimento di dati, analogamente a quanto accadrà per molti settori interessati dalla protezione dei dati, subirà importanti integrazioni con l´emanazione dei decreti delegati, in particolare per ciò che riguarda l´individuazione delle modalità di applicazione della disciplina sulla protezione dei dati ai servizi di comunicazione e di informazione offerti per via telematica (art. 1, comma l, lett. n) della legge n. 676/1996).

Il decreto delegato dovrebbe interessare, in qualche modo, anche il complesso flusso di dati in ambito Internet.

Avvalendosi dell´indicazione contenuta nella direttiva - quadro (considerando n. 47), l´Italia sarà il primo Paese europeo ad aver emanato una disposizione di legge che prende atto della necessità di dover modulare, anche in rapporto ad Internet, la normativa sulla protezione dei dati.

Nell´attesa di un quadro più chiaro sul piano internazionale, il principio che sta maturando è quello di garantire il rispetto della privacy nell´ambito delle reti aperte attraverso una strategia diversificata e globale, consistente, tra l´altro, in:

  • sviluppo di nuove tecnologie "pulite" che assicurino già sul piano tecnico elevati livelli di sicurezza e di protezione della privacy;
  • strumenti di "autodifesa" da parte degli utenti, che permettano loro, sulla base di un´idonea informativa, di accertarsi del livello di sicurezza offerto dal fornitore di servizi cui si rivolgono;
  • strumenti contrattuali e regole di autodisciplina adottate su impulso dei provider;
  • cooperazione internazionale ed eventuale creazione di un nucleo circoscritto di regole giuridiche non soggette a rapida obsolescenza;
  • diffusione della consapevolezza che Internet, per quanto in frenetica evoluzione e con capacità altamente diffusive, è pur sempre un media e, pertanto, agli abusi commessi in rete si possono applicare alcune norme riguardanti i comportamenti off-line.

Il decreto delegato potrà indicare soluzioni differenziate agli interrogativi esistenti sugli adempimenti, sui compiti e sulle responsabilità dei soggetti che operano quali fornitori di reti, di servizi, di accessi e di contenuti.

In tale ottica il Garante, oltre a partecipare attivamente nelle sedi internazionali competenti, si è attivato per organizzare nel prossimo 8/9 maggio un convegno internazionale da tenersi a Roma sul tema.

 

420. Raccolta di firme per iniziative referendarie


N ei primi mesi di attività , sono pervenute alcune segnalazioni sulla diffusione di moduli per la raccolta di firme relative ad iniziative referendarie, nei quali è stata prospettata la possibilità di utilizzare e di divulgare i dati acquisiti anche al fine dell´invio di proposte ed informazioni commerciali, scientifiche, campioni gratuiti di prodotti ed omaggi, sondaggi di opinione.

La raccolta e l´utilizzazione di dati personali connesse all´esercizio di un diritto politico fondamentale, come la sottoscrizione di richieste referendarie, devono essere del tutto distinte dai trattamenti delle stesse informazioni per ulteriori finalità di carattere commerciale o pubblicitario.

Mentre nel primo caso non è richiesto alcun particolare adempimento ai sensi della legge n. 675/1996, in quanto sulla base delle disposizioni vigenti i promotori del referendum sono tenuti a raccogliere i dati personali dei sottoscrittori e a darne comunicazione agli organi preposti alla verifica della regolarità delle richieste (non essendo necessario un consenso ulteriore rispetto alla sottoscrizione), nella seconda ipotesi il Comitato avrebbe dovuto acquisire il consenso dei cittadini elettori, dando ad essi un´ampia informazione sugli specifici aspetti dei successivi trattamenti dei dati non collegati alle procedure referendarie.

Il cittadino non deve sentirsi o essere costretto, per partecipare alla presentazione di un referendum che sente di condividere, ad autorizzare un trattamento "automatico" dei suoi dati personali anche per finalità non strettamente collegate alle attività referendarie.

Sulla base di queste considerazioni, il Garante, a seguito dei chiarimenti forniti dai rappresentanti dei Comitati promotori del referendum, ha adottato a fine luglio un provvedimento con il quale ha invitato i Comitati stessi a separare dalla sottoscrizione necessaria per la richiesta referendaria la parte relativa alla dichiarazione del consenso per l´utilizzazione dei dati a fini diversi da quelli connessi all´iniziativa, oppure ad astenersi da tali richieste.

Inoltre, l´Autorità ha segnalato ai Comitati di astenersi dal compiere qualsiasi operazione di trattamento al di fuori di quanto richiesto dalla legge per le iniziative referendarie, e a fornire ai sottoscrittori un´informativa rispondente ai princìpi dalla legge n. 675/1996 (ad esempio, attraverso la lettura di un foglio disponibile presso gli uffici di raccolta delle firme), nonché un´indicazione sulla circostanza che la manifestazione di consenso riprodotta nel frontespizio dei moduli in distribuzione era da intendersi priva di ogni effetto.

 

421. Accertamenti e ispezioni


A nalogamente a quanto previsto per altre autorità di garanzia, il Garante può, nello svolgimento dei propri compiti, chiedere a chiunque di esibire documenti e di fornire informazioni, ad esempio con una richiesta scritta al titolare o al responsabile del trattamento o a terzi (art. 32, comma 1, legge n. 675).

La richiesta determina una soggezione del destinatario. In caso di inottemperanza, il Garante può applicare una sanzione pecuniaria e può procedere a controlli d´ufficio per appurare le circostanze oggetto della mancata verifica. Al Garante non può essere opposto il segreto professionale o d´ufficio, salvo il segreto professionale del giornalista per ciò che attiene alla fonte della notizia.

Nei casi di necessità , ai fini del controllo delle disposizioni in materia di trattamento dei dati, il Garante può disporre accessi alle banche dati o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, avvalendosi, se necessario, della collaborazione di altri organi dello Stato.

L´eventuale accesso da parte del Garante, ovvero le ispezioni e le verifiche in loco, sono state delimitate e circoscritte dalle norme contenute nel richiamato articolo 32. In primo luogo, è necessaria un´autorizzazione preventiva concessa dal Presidente del tribunale competente per territorio in relazione al luogo dell´accertamento.

Le modalità di accesso e di verifica sono state precisate nel regolamento di disciplina dell´organizzazione dell´Ufficio del Garante, in corso di pubblicazione. In particolare, nel provvedimento sono stati disciplinati alcuni aspetti fra i quali assume rilievo la garanzia dell´inviolabilità del domicilio, che la legge ha individuato nell´autorizzazione del Presidente del tribunale, e che viene concettualmente meno quando l´accesso o la verifica avvenga su richiesta o con il pieno consenso del soggetto presso il cui domicilio avviene l´accesso o la verifica. Si è ritenuto che il beneficiario del bene "domicilio", costituzionalmente garantito e tutelato, possa liberamente disporne attraverso un assenso che deve essere scritto ed informato, rendendo cosìsuperflua l´acquisizione dell´autorizzazione giudiziaria, tenuto anche conto dei tempi a volte lunghi che essa può richiedere.

Le altre norme contenute nel provvedimento regolamentare, concernenti le modalità di svolgimento degli accertamenti, si caratterizzano per la garanzia della correttezza e, al tempo stesso, dell´efficacia, tenendo conto anche, per ciò che riguarda i limiti temporali, della disciplina delle perquisizioni domiciliari prevista dall´articolo 251 del codice di procedura penale.

L´articolo 32, comma 4, della legge chiarisce che i destinatari degli accertamenti non possono opporre un rifiuto e sono tenuti a prestare quel minimo di attività richiesta affinché l´accesso, l´ispezione o la verifica abbiano luogo.

L´attività del Garante, in questa prima fase di applicazione della disciplina sulla protezione dei dati personali, ha curato gli adempimenti necessari per verificare le eventuali inosservanze di legge, ma ha dedicato, contemporaneamente, particolare attenzione all´informazione e alla divulgazione delle novità introdotte dalla nuova disciplina legislativa, curando, in particolare, il rapporto con i singoli cittadini e fornendo loro chiarimenti e pareri, anche telefonici, in ordine alle problematiche emerse nel corso di questo primo periodo di applicazione della legge.

Non può , tuttavia, non essere evidenziato che questa Autorità ha ritenuto prioritario l´impegno nell´attività di completamento di alcuni importanti adempimenti necessari per l´attuazione della legge e in particolare della procedura per la notificazione e del rilascio delle autorizzazioni per il trattamento dei dati sensibili.

 

422. Schengen: Archivi N. S.I.S. e S.I.RE.N.E


A seguito della decisione dell´Autorità di controllo comune Schengen del 12 dicembre 1997 di effettuare una verifica sulle misure di sicurezza adottate dagli uffici SIRENE, il Garante ha ricevuto dal Dipartimento di pubblica sicurezza un rapporto scritto sulle misure di sicurezza adottate dal N-SIS e dall´Ufficio SIRENE, e si è recato in visita presso gli uffici il 2 marzo 1998.

L´N-SIS ha segnalato di non aver incontrato particolari difficoltà nel conformarsi ai protocolli e alle procedure stabiliti dalle Parti contraenti ai sensi dell´articolo 92, par. 2, della Convenzione.

In ordine alle misure di sicurezza adottate, il Garante ha attentamente valutato gli aspetti della sicurezza fisica e logica delle strutture N-SIS e SIRENE, anche attraverso un rapporto scritto.

Delle risultanze dell´accesso il Garante ha riferito alla competente commissione parlamentare di controllo nel corso dell´audizione tenutasi il 12 marzo 1998, cui ha preso parte il Presidente del Garante.

Sulla base della verifica effettuata, il Garante ha suggerito all´Autorità di controllo comune di inserire nelle future linee-guida la possibilità di:

  • effettuare il tracciamento di tutte le varie operazioni relative alla base dati N-SIS (numero di interrogazioni, frequenza, orario, tipi di dati consultati, ecc.);
  • rafforzare le misure di sicurezza volte a garantire che l´accesso sia limitato effettivamente ai dati per i quali i singoli operatori sono abilitati, anche attraverso la modifica periodica delle password;
  • utilizzare adeguatamente le statistiche dei tracciamenti al fine di individuare eventuali anomalie, specie in riferimento al numero delle interrogazioni;
  • invitare gli N-SIS e gli Uffici SIRENE a presentare alle autorità di controllo nazionali un rapporto sulla sicurezza con cadenza periodica, ad esempio annuale.

Peraltro, già il Presidente del Garante era stato sentito dal Comitato parlamentare nel corso dell´audizione svoltasi il 5 giugno 1997. Tale audizione ha riguardato, in particolare, il tema del coordinamento legislativo tra le disposizioni esistenti in materia di protezione dei dati personali nella legge n. 675/1996 e le specifiche norme introdotte dalle leggi n. 121/1981 (recante nuovo ordinamento della Polizia di Stato) e n. 388/1993 (di ratifica della Convenzione di Shengen), nonché del raccordo con le pertinenti disposizioni delle Convenzioni EUROPOL e SID.

 

423. Trattamenti effettuati dal C.e.d del Dipartimento della pubblica sicurezza


L a particolare "sensibilità" dei dati raccolti dalle forze di polizia nello svolgimento dei compiti di tutela della sicurezza pubblica, prevenzione e repressione dei reati, ha indotto a suo tempo il legislatore ad intervenire per disciplinare la materia, con alcune norme che ne regolassero anzitutto le modalità e i limiti di raccolta e di elaborazione da parte del Centro elaborazione dati del Dipartimento della pubblica sicurezza del Ministero dell´interno ove i dati confluivano (legge 1 aprile 1981, n. 121).

Alle prime garanzie introdotte nel 1981, risultate poi superate anche alla luce del contesto internazionale, si aggiungono oggi le elevate misure di protezione previste dalla legge n. 675/1996, anche per ciò che riguarda i poteri di controllo attribuiti al Garante d´ufficio o su segnalazione dell´interessato.

Il sistema degli strumenti di controllo sui "dati di polizia" si presenta quindi articolato. A fianco dei poteri attribuiti al Garante (artt. 31 e 32 della legge n. 675) ed all´autorità giudiziaria, permane anche la facoltà, per il soggetto interessato, di esercitare le consentite verifiche sulla liceità e correttezza dei dati che lo riguardano attraverso una richiesta rivolta direttamente all´ufficio del Dipartimento della pubblica sicurezza responsabile degli archivi, secondo la procedura specificata nell´articolo 10 della legge 121/1981 citata.

Al riguardo, sulla base di diverse segnalazioni pervenute, il Garante è intervenuto presso il predetto ufficio per sottolineare la necessità dell´applicazione del citato articolo 10 nella sua corretta interpretazione, secondo la quale l´"accesso" dell´interessato non è subordinato a particolari situazioni legittimanti, quali la previa pendenza di un procedimento amministrativo o giurisdizionale.

Nella stessa occasione il Garante ha sottolineato la necessità che sia rispettato dall´ufficio competente il termine di venti giorni previsto dall´articolo 10 per il riscontro delle richieste, ovvero per la comunicazione al Garante della sussistenza di motivi ostativi al riscontro stesso.

 

424. Accertamenti presso servizi di informazione e di sicurezza


I l Garante, sulla base delle richieste pervenute, ha proceduto ad alcuni accertamenti relativi a trattamenti di dati personali effettuati presso il SISDE, il SISMI e il CESIS.

Le verifiche si sono svolte il 25 ed il 26 febbraio 1998 presso le varie strutture interessate, e hanno riguardato otto cittadini richiedenti.

Il controllo si è svolto con la piena collaborazione degli organismi ed è stato preceduto da una nota con la quale il Garante si è pronunciato su alcuni quesiti relativi all´attività di intelligence.

Il Garante ha informato i cittadini interessati dell´esito della verifica con modalità rispettose dei criteri stabiliti dall´art. 32 della legge e che tengono conto sia dell´esigenza di rassicurare il cittadino circa l´assenza di violazione di legge sia della necessità di salvaguardare, al tempo stesso, la segretezza dei trattamenti oggetto di verifica.

Il Garante si è peraltro riservato di formulare al Governo alcune ulteriori osservazioni di ordine generale, tenendo conto anche delle disposizioni amministrative di settore che gli organismi di sicurezza hanno reso disponibili nell´ambito della collaborazione prestata.

Scheda

Doc-Web
1343496
Data
30/04/98

Tipologie

Relazione annuale